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Editorial 


40 Jahre DVD! Anlässlich dieses Jubiläums beginnen wir dieses Heft mit einem Rück- 
blick auf diese 40 Jahre. Ein erster Artikel von Heinz Alenfelder und Thilo Weichert 
beschreibt die ersten ca. 20 DVD-Jahre. Ein zweiter (deutlicher kürzerer) Rückblick 
von Heinz Ahlenfelder gibt einen persönlichen Rückblick auf 40 Jahre DVD. Ergänzt 
werden diese beiden Artikel vom aktuellen Vorstandsvorsitzenden, Frank Spaeing, um 
die aktuellen Themen und Entwicklungen der letzten Jahre. 


Danach folgen Grußbotschaften von teils langjährigen Weggefährten, die wir in al- 
phabetischer Reihenfolge wiedergeben. Bei näherer Betrachtung der Absender der 
Grußbotschaften fällt auf, dass hier neben der Datenschutzkonferenz (Konferenz der 
unabhängigen Datenschutzbehörden des Bundes und der Länder) und besagten Weg- 
begleitern auch andere Bürgerrechtsorganisationen bzw. Datenschutzvereine vertreten 
sind, die durchaus ähnliche Interessen verfolgen wie die DVD. 


Wir sehen uns also nicht als Konkurrenz, sondern als Ergänzung mit jeweils unter- 
schiedlichen Schwerpunkten — und Möglichkeiten. Ein Vorstandsmitglied einer ande- 
ren Organisation sagte auf deren Mitgliederversammlung in diesem Jahr: „Wir sind der 
DVD dankbar für die klare, kritische Stellungnahme zum neuen BDSG, die wir selbst 
so deutlich nicht formulieren können.“ Kann es ein besseres Kompliment geben? 


Natürlich kommen in diesem Heft auch die Fachbeiträge nicht zu kurz. Es gibt derer 
drei in dieser DANA-Ausgabe: 


Der erste Artikel von Dr. Bernd Schütze befasst sich mit dem Controlling der IT- 
Sicherheit unter Berücksichtigung von Art. 32 Datenschutz-Grundverordnung. Der 
nächste Artikel von Riko Pieper beschreibt anhand von elf Beispielen Kuriositäten im 
Datenschutzrecht, wobei manche dieser Beispiele nur kurios aber harmlos sind, andere 
jedoch ernste und teilweise aktuelle Probleme beschreiben. Die jeweiligen Konklusio- 
nen wurden teilweise mit einem Augenzwinkern geschrieben und dürfen nicht zu wört- 
lich genommen werden. Ergänzend zu den reinen Datenschutzthemen folgt der Artikel 
„Wenn aus Spiel Wirklichkeit wird“ von Ute Bernhardt zu Potenzialen kollaborativer 
Augmented Reality. 


Anschließend haben wir Ihnen noch eine Pressemitteilung der Berliner BfDI zum 
„Artikel-Gesetz für mehr Sicherheit und mehr Datenschutz in Berlin“, eine Rede des 
Bundesjustizministers Maas zum Zusammenleben in der digitalen Gesellschaft sowie 
einen Leserbrief von Patrick Breyer mit einer Replik durch Vorstandsmitglied Thilo 
Weichert in dieses Heft gepackt. 


Abgerundet wird dieses Heft wie gewohnt durch die Datenschutznachrichten aus dem 
In- und Ausland, zu technischen Datenschutzthemen sowie zur Rechtsprechung und 
durch Buchbesprechungen. 


Wir wünschen Ihnen in diesen interessanten und (mitunter auch) stürmischen Zeiten 
eine angenehme Lektüre 


Frank Spaeing und Riko Pieper 


Autorinnen und Autoren dieser Ausgabe: 


Heinz Alenfelder 
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Die ersten Jahre der DVD 


Dieser Artikel von Heinz Alenfelder und Thilo Weichert basiert auf einem Beitrag für die Zeitschrift “vor- 
gänge” - Zeitschrift für Bürgerrechte und Gesellschaftspolitik; Heft 4, Dezember 1999, Nr. 148, Der ver- 


messene Mensch. 


Kleine Geschichte 


Datenschutz ist ein Bürgerrecht. Es ist 
daher kein unsinniges Unterfangen nach 
dem Schicksal einer Bürgerrechtsorga- 
nisation zu fragen, um über den Zustand 
dieses Bürgerrechts etwas zu erfahren. 
Dass Datenschutz — in der Juristenspra- 
che das Recht auf informationelle Selbst- 
bestimmung — als Bürgerrecht etabliert 
ist, verdanken wir vor allem der Volks- 
zählungsentscheidung des Bundesver- 
fassungsgerichts von 1983. Dass es zu 
dieser Entscheidung gekommen ist, ver- 
danken wir aber der öffentlichen Diskus- 
sion um den Datenschutz und damit den 
Personen und Organisationen, die sich in 
dessen Interesse engagiert haben. 

Datenschutz wurde nicht immer als 
Bürgerrecht für jede und jeden verstan- 
den. Zwar wurde die moderne Daten- 
schutzdebatte in den USA schon im Jahr 
1890 mit einem Aufsatz von Warren und 
Brandeis über ein allgemeines „Right 
to Privacy” losgetreten. In Deutschland 
wurde das allgemeine Persönlichkeits- 
recht bis in die jüngste Vergangenheit vor 
allem als ein Recht der Eliten angesehen. 

Das Recht am eigenen Bild z.B. wurde 
1907 in das Kunst- und Urhebergesetz 
hineingeschrieben, weil ein Journalist 
als früher Paparazo die Leiche von Bis- 
marck fotografierte und dieses Bild ver- 
öffentlichte. Bei den Gerichtsentschei- 
dungen zum Persönlichkeitsrecht ging 
es zunächst um Klagen von Prominenten 
gegen die nicht autorisierte Veröffentli- 
chung ihres Namens oder Bildes für Wer- 
be- oder sonstige kommerzielle Zwecke 
(z.B. Herrenreiterfall, Soraya). Die Po- 
pularisierung dieses Rechts kam erst mit 
dem Erlass der ersten Datenschutzgeset- 
ze in den 70er Jahren. 

Die Gründung der Deutschen Verei- 
nigung für Datenschutz Ende 1977 er- 
folgte nicht als medialer Paukenschlag, 
sondern als Versuch, ein kleines zartes 
Pflänzchen hochzuziehen. Das erste Da- 
tenschutzgesetz, nicht nur Deutschlands, 
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sondern weltweit, war schon 1970 vom 
Hessischen Landtag verabschiedet wor- 
den. Auch auf Bundesebene hatten wir 
inzwischen ein „Gesetz zum Schutz vor 
Missbrauch personenbezogener Daten”- 
das Bundesdatenschutzgesetz (BDSG), 
welches im Januar 1977 verabschiedet 
wurde und zum darauf folgenden Jah- 
reswechsel in Kraft trat. Die DVD-Grün- 
dung war ein Reflex auf diese politische 
Entwicklung, nicht deren Auslöser. Eini- 
ge, aus der gemeinsamen Tätigkeit bei 
bzw. mit der Gesellschaft für Mathematik 
und Datenverarbeitung (GMD) in Bonn 
befreundete und bekannte Mitstreiter, 
gründeten den Verein. 

Dieser sollte die “datenschutzbezo- 
genen Interessen der Bürger sowie die 
Position der Datenschutzbeauftragten 
in den Betrieben” stärken. Ziele waren 
die Herausgabe einer Fachzeitschrift, 
die Durchführung von Schulungen und 
die Mitgliederberatung in Datenschutz- 
fragen. Die AktivistInnen der ersten 
Tage sind teilweise heute noch im Da- 
tenschutzgeschäft tätig. Doch haben sie 
sich fast durchgängig — viele im Wis- 
senschaftsbetrieb, einige auch in der 
„freien” Wirtschaft — etabliert und dabei 
zumeist der DVD - auch bei Bewahrung 
einer freundlicher Grundeinstellung — 
den Rücken zugewandt. August 1978 
erschien die erste Ausgabe der eigenen 
Zeitschrift — der Datenschutz Nachrich- 
ten (DANA). Die Position war — wie die 
der DVD - von Anfang an bürgerrecht- 
lich, staatskritisch und linksliberal. So 
fragte die erste Überschrift der DANA, 
ob das neue Bundesdatenschutzgesetz 
(BDSG) nicht ein „Ermächtigungsge- 
setz für staatliche Informationszentra- 
len” sei und kam auch gleich zu der Ant- 
wort, dass hier ein Schutzgesetz in sein 
Gegenteil verkehrt worden sei. Ein Heft 
der DANA kostete damals DM 5,50; in- 
zwischen sind es DM 12,50. 

Dabei ist nicht zu verkennen, dass sich 
der Inhalt — zumindest quantitativ und 
auch Dank moderner Informationstech- 


nologie — vervielfacht hat. In den über 
zwanzig Jahren hat die zunächst sechs- 
mal, jetzt viermal jährlich erscheinende 
DANA immer zeitnah über datenschutz- 
relevante Entwicklungen und über die 
DVD-Arbeit berichtet. Inzwischen gibt 
es eine Vielzahl von Datenschutzzeit- 
schriften mit vielen juristischen und 
technischen Informationen; die DANA 
ist die einzige geblieben, die einen po- 
litischen, engagierten und bürgerrechtli- 
chen Anspruch hat und verwirklicht. 


Struktur und Arbeitsweise 


Die Keimzelle der DVD lag in Bonn 
— und damit am Regierungssitz der Bun- 
desrepublik Deutschland. Ein wissen- 
schaftlicher Beirat sollte die Verbands- 
arbeit von Anfang an kritisch begleiten. 
Doch diese Struktur erwies sich für eine 
bundesweite Organisation mit ca. 200 
Mitgliedern langfristig als nicht überle- 
bensfähig. 

Wenn sich im Rahmen des Widerstan- 
des gegen die Volkszählung 1983 auch 
die in der ganzen Republik verbreite- 
ten Kontakte und Regionalgruppen als 
wichtig erwiesen, so konzentrierten 
sich die Aktivitäten doch vorrangig auf 
die Vorstandsarbeit, die Erstellung der 
DANA und auf bundesweite Koordina- 
tion. Sie ging von Bonn aus, wo auch 
die Geschäftsstelle untergebracht war. 
Die Vorstände nahmen ihre Aufgaben 
immer ehrenamtlich wahr. Auch die 
Geschäftsstellenarbeit war lange Zeit 
ehrenamtlich. Erst 1985 war es möglich, 
die Geschäftsstellentätigkeit, wenn auch 
nur in sehr beschränktem Umfang, zu 
entlohnen. 

Die Finanzierung des Vereins basierte 
immer vor allem auf der Zahlung von 
Mitgliedsbeiträgen, darüber hinaus auch 
auf Spenden sowie auf Überschüssen 
aus Veranstaltungen und Seminaren. Da 
die DVD als gemeinnützig anerkannt 
ist, können Spenden steuerlich abge- 
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setzt werden. Bei den Preisen — nicht 
nur der DANA - versucht die DVD seit 
über 20 Jahren Bürgerfreundlichkeit zu 
wahren. Die Mitgliedsbeiträge bewegen 
sich heute mit 80 DM bzw. ermäßigt mit 
35 DM pro Jahr für Einzelpersonen und 
150 DM für Organisationen und Firmen 
in einem sehr vertretbaren Rahmen. 

Die Tätigkeit der DVD hat eine Viel- 
zahl von Facetten: Die Beratungsersu- 
chen von BürgerInnen können nur in 
einem eingeschränkten Umfang befrie- 
digt werden. Mitglieder haben einen 
Anspruch auf Unterstützung. Zumeist 
ist es aber wegen der Vielzahl der ex- 
ternen Anfragen nur möglich, auf die 
zuständigen Datenschutzbehörden im 
Bund und in den Ländern zu verweisen. 
Hauptschwerpunkt der DVD-Arbeit ist 
die bürgerrechtliche Begleitung der Da- 
tenschutzentwicklung in Deutschland. 
Diese erfolgt zum einen durch Pressear- 
beit, aber auch durch themenbezogene 
Informationen im Internet. Die DVD 
ist inzwischen als die kritische Daten- 
schutzorganisation in der öffentlichen 
Wahrnehmung etabliert. 

Das Organ der DVD, die DANA, fin- 
det in der Datenschutzdiskussion wegen 
ihrer Berichterstattung, aber vor allem 
auch wegen ihrer pointierten Positionen 
große Beachtung. Die DANA zielt dar- 
auf ab, die aktuellen Entwicklungen zu 
dokumentieren, zu kommentieren und 
zu diskutieren. Jedes Heft hat einen ei- 
genen Schwerpunkt, wobei die gesamte 
Palette des privaten und des öffentlichen 
Bereichs abgedeckt wird. Behandelt 
wird alles, was relevant ist, von der Gen- 
und Biotechnik über moderne Verfahren 
der Videoüberwachung, von Chipkarten 
bis hin zu Expertensystemen und Mus- 
tererkennungsverfahren. Sie beschäftigt 
sich mit Datenschutz in der Schule, im 
Betrieb, bei der Polizei, bei der For- 
schung ... 

Das Internet ist ebenso präsent wie die 
konventionelle Führung von Arztakten. 
Angesichts der überbordenden Fülle von 
Datenschutzliteratur nahm der Verein in 
der jüngeren Zeit davon Abstand, eigene 
Buchpublikationen herauszubringen. 

Auf Anfrage stehen ExpertInnen aus 
den Bereichen Recht, Informationstech- 
nik, betrieblicher Datenschutz und Wis- 
senschaft als ReferentInnen für Veran- 
staltungen zur Verfügung. Daneben gibt 
es, teilweise gemeinsam mit anderen Or- 
ganisatoren, ein kleines eigenständiges 
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Seminarangebot. In den 70er und 80er 
Jahren wurden regelmäßig, in den 90er 
Jahren unregelmäßig größere Jahresta- 
gungen durchgeführt. 

Eine wichtige Aufgabe sieht die DVD 
in politischer Lobbyarbeit. Durch Gut- 
achten zu politischen Initiativen von 
Fraktionen und Regierungen ist die 
DVD immer wieder bei Sachverstän- 
digenanhörungen des Bundestages und 
der Länderparlamente präsent. Aber 
auch für sonstige Einrichtungen werden 
bei Bedarf Stellungnahmen und Gutach- 
ten angefertigt. Ende der 80er Jahre war 
die DVD zudem an einem großen For- 
schungsprojekt der Technischen Univer- 
sität Berlin beteiligt. 


Koalitionspartner 


Es gibt eine Vielzahl von Organisatio- 
nen, mit denen die DVD in Sachen Da- 
tenschutz zusammen arbeitet. 

Während in den Frühzeiten eine gute 
Zusammenarbeit zu den Gewerkschaf- 
ten erfolgte, erlahmte deren Interesse am 
Datenschutz, was seinen Ausdruck auch 
darin fand, dass der Deutsche Gewerk- 
schaftsbund Anfang der 90er Jahre seine 
Mitgliedschaft in der DVD kündigte. 
Dessen ungeachtet bestehen weiterhin 
in Einzelfällen Kooperationsansätze. 

Zu den sonstigen Datenschutzorgani- 
sationen in Deutschland hat die DVD 
ein unverkrampft freundliches Verhält- 
nis. Über den Austausch von Referenten 
und Materialien geht aber die Koopera- 
tion nicht hinaus. Dies liegt daran, dass 
sich die Gesellschaft für Datenschutz 
und Datensicherheit (GDD) als Orga- 
nisation der Datenverarbeiter und deren 
Datenschutzbeauftragten versteht und 
daher teilweise völlig andere Interes- 
sen verfolgt. Für den Berufsverband der 
Datenschutzbeauftragten Deutschlands 
(BvD) e.V. stehen berufständische In- 
teressen im Vordergrund. Damit ist die 
DVD der einzige Datenschutzverband 
mit bürgerrechtlicher Schwerpunktset- 
zung. 

Die Kooperation mit sonstigen Bür- 
gerrechtsorganisationen ist dement- 
sprechend gut. Dies gilt etwa für die 
Humanistische Union, das Institut für 
Bürgerrechte & öffentliche Sicherheit 
(Bürgerrechte & Polizei/CILIP) oder die 
Kritischen PolizistInnen. 

Eine enge Verbindung besteht zu kri- 
tischen Informatikverbänden. Hier sind 


vorrangig zu nennen das Forum Informa- 
tikerInnen für Frieden und gesellschatftli- 
che Verantwortung (FIfF) und das Institut 
für Informationsökologie (IKÖ). 

Zu den politischen Parteien besteht 
ein eher distanziertes Verhältnis. Zwar 
zeigt sich, dass insbesondere von der 
SPD und von Bündnis 90/Die Grünen 
teilweise gleichgelagerte politische Zie- 
le verfolgt werden. Die kritische Dis- 
tanz erweist sich insbesondere dann als 
notwendig, wenn diese Parteien an Re- 
gierungen beteiligt sind. Grundsätzlich 
steht die DVD aber auch zur Beratung 
der anderen Parteien zur Verfügung, was 
in der Praxis auch ab und zu in Anspruch 
genommen wird. 

Eine kritische Distanz drängt sich 
ebenso in Bezug auf die Datenschutzbe- 
hörden auf. Zum einen verfolgen diese 
wie die DVD das gleiche Grundrechts- 
anliegen. Zum anderen aber gibt es ge- 
rade dort viel zu kritisieren. Mangelndes 
Engagement, Zauderhaftigkeit und Un- 
bestimmtheit, bürokratische Auswüch- 
se, Verflechtungen mit Behörden und 
Politik sind immer wieder Anlass, die 
Datenschutzbehörden zu tadeln. Hinzu 
kommt, dass deren materielle und perso- 
nelle Ressourcen oft derart dürftig sind, 
dass ein wirksamer Schutz des Rechts 
auf informationelle Selbstbestimmung 
in Frage steht. 

Es ist die gesellschaftliche Funktion 
der DVD, hier die Finger in die vielen 
Wunden zu legen. Wer sonst würde den 
Mund aufmachen, wenn über Jahre hin- 
weg in Thüringen die gesetzlich vorge- 
sehene Stelle des Datenschutzbeauftrag- 
ten einfach nicht eingerichtet wird? Wer 
sonst sollte die Beauftragten für den Da- 
tenschutz immer wieder ermahnen, sich 
nicht zu sehr in die Regierungspolitik 
einbinden zu lassen? Es bestehen viele 
informelle und personelle Kontakte zum 
behördlichen Datenschutz; ab und zu 
werden gar Veranstaltungen gemeinsam 
durchgeführt. 

Von Anfang an warf die DVD ein 
Auge auf die Datenschutzentwicklung 
in den anderen Ländern Europas und 
in der Welt. Kooperationen erfolgten 
mit der österreichischen ARGE Daten, 
dem britischen Statewatch und in größe- 
rem Umfang mit der — inzwischen nicht 
mehr bestehenden — niederländischen 
Stichting Waakzaamheid Persoonsregis- 
tratie. 

Bei der internationalen Kooperati- 
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Kostenlose Hilfe für 
 „datengestörte“ Bürger 


In 15 Städten kümmert sich Verein um Datenschutz 


Bonn (da) — Von der Öffent- 
lichkeit weitgehend unbemerkt 
wurde im 


die sich in erster Linie 
hi Schutz der Bürger vor 
 mißbräuchlicher Verarbeitung 
ihrer Daten widmet. Inzwischen 
hat sich die DVD gemausert und 
im Bundesgebiet — so in Ham- 
burg, Berlin, Köln, Stuttgart, 
Marburg, Wiesbaden, Freiburg, 
Hannover und Saar- 
brücken — rein Si 15 Außen- 
‚stellen eingerich! 

Diteesiörte” Bürger — 
nicht nur DVD-Mitglieder — 
können sich dort kostenlos über 
Probleme der Elektronischen Da- 
tenverarbeitung (EDV) beraten 
lassen, sofern nicht ausgefeilte, 


Holsteinischer Courier vom 21.09.1978 


on erweisen sich aber die begrenzten 
Möglichkeiten einer auf Ehrenamtlich- 
keit basierenden Arbeit. So wäre es 
zwar dringend notwendig, enger mit 
der staatenübergreifenden Organisation 
Privacy International zusammenzuar- 
beiten, die z.B. in einzelnen Ländern 
einen Big Brother Award verliehen hat, 
wäre es gut, sich innerhalb der europäi- 
schen Union stärker auszutauschen und 
in länderübergreifende Datenverarbei- 
tungsprojekte (z.B. Europol, Schengen, 
Enfopol, Echelon, Eurodac) einzumi- 
schen. Doch ist das mit den derzeitigen 
begrenzten Mitteln nicht möglich. So 
bleibt es zumeist bei der Beobachtung 
der internationalen Entwicklung und de- 
ren Dokumentation in der DANA. 


Spezielle Themen 


In besonderem Maße war die DVD 
während der Anti-Volkszählungskampa- 
gnen 1983 und dann auch 1987 gefordert. 
Beides waren Anlässe, um das Thema 
Datenschutz populär in der Öffentlich- 
keit zu tragen. Damit in engem Zusam- 
menhang standen die Kontroversen um 
die Einführung des maschinenlesbaren 
Personalausweises und um die Verab- 
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Leuten gleichgültig ist, was mit 
ihren Daten geschieht“. 
Dennoch ist man überzeugt, 
zumindest auf längere Sicht, 
eine Marktlücke entdeckt zu 
haben. Schließlich stehe im 
Vordergrund nicht die Frage, 
wie die speichernden Stellen 
dem Datenschutzgesetz genüg- 
ten, sondern wie sich die Bürger 
vor Datenmißbrauch schützen 
könnten. „Die Problematik der 
Mißbrauchverhinderung bür- 


schiedung der sog. Sicherheitsgesetze. 
Es war nicht möglich, die vielfältigen 
regionalen Anti-Volkszählungs-, Mikro- 
zensus-, Anti-Überwachungs- und Anti- 
Kabel-Initiativen in die DVD-Arbeit zu 
integrieren. Diese nutzten vielmehr die 
Fachkompetenz der DVD als eine Art 
Dienstleister. 

Ähnliches gilt für die Unterstützung 
von Kriegsdienstverweigerern oder für 
die Unterstützung von Patienteninitiati- 
ven bei der Einführung der maschinen- 
lesbaren Krankenversichertenkarte durch 
die DVD. 

Die Datenverarbeitung bei der Polizei 
stand immer wieder auf dem Prüfstand 
des Verbandes. 

Die langwierigen Novellierungsbemü- 
hungen des BDSG, die 1990 endlich ein 
Ergebnis zeigten, wurden kritisch beglei- 
tet. Schon damals wurden von der DVD 
die technische Antiquiertheit der damals 
noch neuen Regelungen moniert. 

Die DVD war die Organisation, die 
schon Ende der 80er Jahre immer wieder 
die Problematik der Videoüberwachung 
im öffentlichen Raum thematisierte. 

Ein weiteres Thema war die Verdatung 
der AusländerInnen, insbesondere mit 
Hilfe des Ausländerzentralregisters. Im 


Rahmen der Novellierung des Auslän- 
dergesetzes 1990 wurde der Widerstand 
gegen die darin vorgesehene Denunzie- 
rungspflicht gegenüber den Ausländer- 
behörden unterstützt. Als 1995 bekannt 
wurde, dass eine weitgehende Kontrolle 
von Flüchtlingen durch eine AsylCard 
geplant sei, war es wieder die DVD, die 
dieses weitere Kontrollprojekt zu skan- 
dalisieren versuchte. 

Der Datenschutz in Europa (Europa 
ohne Grenzen — grenzenlose Kontrolle) 
war schon früh im Jahr 1989 Gegenstand 
einer internationalen Tagung. Diese Dis- 
kussion fand ihre natürliche Fortsetzung 
1994/95 mit der Problematisierung der 
Datenverarbeitung bei Europol und de- 
ren Vorgängerinstitutionen. Obwohl man 
sich nach der Wende auch ostdeutschen 
Themen (z.B. Stasi, Einführung von Da- 
tenschutzbehörden und -gesetzen) an- 
nahm, war es für den Verband bis heute 
nicht möglich, in den neuen Ländern Fuß 
zu fassen. Beim Datenschutz handelt es 
sich — ähnlich wie beim Umweltschutz — 
leider immer noch um ein westdeutsches 
Thema. 

In den 90er Jahren gewannen technik- 
bezogene Fragen des Datenschutzes eine 
immer größere Bedeutung. Telekommu- 
nikation, Internet, Expertensysteme, Mo- 
bilfunk, Chipkarten als technische Rah- 
menbedingungen machten eine stärker 
informatikbezogene Diskussion erforder- 
lich, in der z.B. Kryptologie, Pseudony- 
misierungsmethoden sowie sonstige Pri- 
vacy Enhancing Technologies eine zent- 
rale Rolle spielen. Kampagnenorientierte 
Aktivitäten wurden zur datenschutzwid- 
rigen Vermarktung von Telefonbuch- 
Daten auf CD-ROM (1995) und zur bun- 
desweiten Gebäudedatenbank CityServer 
(1999) entwickelt. 

An anderen Öffentlichen Diskussio- 
nen, etwa über den sog. Großen Lausch- 
angriff und der damit verbundenen Än- 
derung des Art. 13 Grundgesetz (1998) 
nahm die DVD cher begleitend als in- 
itiierend teil. Datenschutzkampagnen 
anderer Organisationen, wie z.B. die 
der HU zur BahnCard und der Koppe- 
lung von Bahnpreisvergünstigungen mit 
Kreditgeschäften und einer aufgezwun- 
genen Datenverarbeitung in den USA, 
wurden unterstützt. 

Als die derzeit wohl wichtigste Auf- 
gabe sieht es die DVD an, sich an der 
Debatte um die Anpassung des BDSG 
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an die Europäische Datenschutzricht- 
linie und um dessen Modernisierung 
zu beteiligen. Zu diesem Zweck wurde 
unter Leitung der DVD ein Arbeitskreis 
ins Leben gerufen, der einen komplet- 
ten neuen BDSG-Entwurf vorlegte. 
Dieser wurde von der Fraktion Bündnis 
90/Die Grünen 1998 in den Bundestag 
eingebracht. Obwohl dieser Entwurf 
von allen Seiten, nicht nur von der Da- 
tenschutzpraxis, sondern auch aus der 
Wirtschaft und der Wissenschaft, gelobt 
wurde, fand er nach dem Wechsel zur 
rot-grünen Bundesregierung im Bun- 
desministerium des Innern (BMI) kei- 
nen Gefallen und wurde nicht berück- 
sichtigt. Vielmehr wagte es das BMI, 
zunächst einen wortidentischen Entwurf 
aus schwarz-gelben Zeiten vorzulegen. 
Dessen ungeachtet blieb der grüne Ent- 
wurf bis heute eine wichtige Diskus- 
sionsgrundlage für die Novellierung 
der Landesdatenschutzgesetze und die 
Vorlage für einige Verbesserungen im 
BDSG-Entwurf des BMI. 


Erfolge oder vergebliche 
Mühe? 


Rekapitulieren wir heute die über 
20jährige Arbeit der DVD, so lässt sich 
diese schon als Erfolgsgeschichte dar- 
stellen. Insbesondere zur Förderung des 
Bewusstmachungsprozesses bei einer 
Vielzahl von Datenschutzfragen hat die 
DVD als Katalysator gewirkt. Dabei 
hatte sie im Konzert der sonstigen Betei- 
ligten eine eigene, eigenwillige Stimme. 

Sicherlich sind die Datenschutzbe- 
auftragten als staatliche Stellen mit ei- 
nem funktionsfähigen professionellen 
Apparat in erheblich größerem Umfang 
öffentlich präsent als eine kleine Bür- 
gerrechtsorganisation. Es ist aber schon 
bezeichnend, dass sich die Medien ger- 
ne an die DVD wenden, wenn ihnen die 
Stellungnahmen der offiziellen Daten- 
schützer zu zahm und defensiv erschei- 
nen. 

In einigen Bereichen ist es der DVD 
gelungen, Datenschutzthemen von sich 
aus in die Öffentlichkeit zu bringen, z.B. 
die Ausländerverdatung, das Datensam- 
meln bei Europol oder die Herausgabe 
von Telefonbuch-CD-ROM. Hier, wie 
bei sämtlichen sonstigen Fragestellun- 
gen, blieb der DVD aber nur die Reak- 
tion auf eine laufende politische oder 


DANA » Datenschutz Nachrichten 3/2017 


technische Entwicklung. Sie hat es nie 
geschafft, eigenständig gestaltend ein- 
zugreifen; es blieb regelmäßig beim 
Problematisieren von bestehenden ge- 
fährlichen Projekten. Lediglich in der 
aktuellen Diskussion um die BDSG-No- 
vellierung war es möglich, kurzfristig 
die Diskussion selbst zu gestalten. 

Die Früchte der DVD-Arbeit sind nur 
schwer auszumachen. So ist es kaum 
möglich festzustellen, welchen Beitrag 
die DVD auf die Anti-Volkszählungs- 
bewegung und welchen diese auf das 
Volkszählungsurteil des Bundesver- 
fassungsgerichtes hatte. Die DVD ist 
als Graswurzelinitiative weit von den 
letztendlich zu erntenden Früchten der 
Datenschutzpolitik entfernt. Diese Rol- 
le wird durch die schon dargestellte 
Dienstleistungsfunktion einer fachbezo- 
genen Querschnitts-Initiative verschärft. 

Die BürgerrechtlerInnen mit juristi- 
schem und informationstechnischem 
Sachverstand sind als DatenschützerlIn- 
nen zwar nahe an den Problemen, aber 
zumeist nur indirekt betroffen. Für die 
Thematisierung ihres Anliegens sind sie 
auf die Betroffenheit anderer angewie- 
sen. Diese nehmen die Datenschutzex- 
pertise gerne an. 

Ausländer- und Flüchtlingsinitiativen 
sind natürlich dankbar, kompetent über 
die informationstechnische und rechtli- 
che Kontrolle von Nichtdeutschen auf- 
geklärt zu werden. Hauseigentümer neh- 
men bereitwillig die datenschützerische 
Hilfe an, wenn ihre Gebäude bundes- 
weit digitalisiert werden. Berufliche Ge- 
heimnisträger und JournalistInnen sind 
natürlich froh über den Hinweis von 
Datenschützern, dass durch Wohnraum- 
oder Telekommunikationsüberwachung 
die Vertraulichkeit ihrer Arbeit in Frage 
gestellt wird. Die Skandalisierung des 
Themas bleibt aber zumeist den Betrof- 
fenen selbst überlassen. Nur selten liegt 
der Fall so, dass alle oder viele betroffen 
sind und der Skandal in der (befürchte- 
ten) Generalüberwachung liegt — wie bei 
den vergangenen Volkszählungen. 


Perspektiven 


Gäbe es die DVD nicht, so müsste 
man sie erfinden. 

Wir leben in einer pluralistischen Ge- 
sellschaft, in der Interessen organisiert 
werden müssen, um sie öffentlich zur 


Geltung zu bringen. Dass informationel- 
le Selbstbestimmung in einer Informa- 
tionsgesellschaft für die Wahrung von 
Demokratie, Rechtsstaatlichkeit und 
Bürgerrechtsschutz unabdingbar sind, 
dürfte unbestreitbar sein. Daher bedarf 
es der Organisation des Datenschutzes. 
Dies hat auch das Bundesverfassungs- 
gericht erkannt, als es unabhängige 
Datenschutzbeauftragte als eine Grund- 
bedingung des Grundrechtsschutzes er- 
klärte „wegen der für den Bürger beste- 
henden Undurchsichtigkeit der Speiche- 
rung und Verwendung von Daten unter 
den Bedingungen der automatisierten 
Datenverarbeitung und auch im Interes- 
se eines vorgezogenen Rechtsschutzes”. 

Dass aber Datenschutzbeauftragte tat- 
sächlich unabhängig sind und bleiben, 
ist keine Selbstverständlichkeit. Inso- 
fern kann und muss die DVD Stachel im 
Fleisch auch der Datenschutzbeauftrag- 
ten sein. 

Ein kleiner Bürgerrechtsverband ist 
natürlich mangels Geld, Personal und 
verfügbarer Technik nicht in der Lage, 
die technologische Entwicklung in eine 
datenschutzfreundliche Richtung zu 
wenden. Dies schaffen selbst die meis- 
tens besser ausgestatteten Datenschutz- 
beauftragten nicht. Schon eher ist es 
möglich, bzgl. der rechtlichen und sozi- 
alen Rahmenbedingungen mitzugestal- 
ten. Um so wichtiger ist die Schiedsrich- 
terrolle der Datenschutzbeauftragten bei 
der Informatisierung unseres Alltags. 
Und um so wichtiger sind Stellen, die 
diesen Prozess kritisch begleiten. Dies 
gilt für so unterschiedliche Themen wie 
die staatliche Freigabe von Kryptografie, 
die Gewährleistung unbeobachtbarer, 
anonymer elektronischer Kommunika- 
tion, die Möglichkeit von Selbstschutz- 
mitteln der Internet-Nutzenden, die (in- 
formationstechnisch plötzlich mögliche) 
Schaffung von Verwaltungstransparenz 
durch Informationsfreiheit, die Kontrol- 
le großer wirtschaftlicher Datenbanken 
mit persönlichen Kommunikations-, 
Konsum- und Liquiditätsprofilen. 

Die DVD kann nur eine dieser kri- 
tischen Stellen sein. Andere müssen 
sich über diese ihre gesellschaftliche 
Aufgabe erst klar werden. Das gilt an 
vorderster Stelle für Gewerkschaften 
und Verbraucherverbände. Das gilt aber 
auch für Selbsthilfeorganisationen und 
Betroffenenverbände. Das gilt letztend- 


123 


DVD-Vorstandsmitglieder im Jahre 1979 (v.l.n.r): 
Dr. Gerhard von Keußler (Vors.), Dr. Klaus Hümmerich, Gert Hausmann, Peter Gola, Barbara Schmidt-Belz 


lich auch für die politischen Parteien, 
bei denen aber der Bewusstwerdungs- 
prozess noch am wenigsten festzustel- 
len ist. Die DVD erfüllt eine wichtige 
gesellschaftliche Funktion, wenn sie 
gegenüber diesen teilweise mächtigen 
Interessenverbänden eine Katalysa- 
toren- bzw. eine Moderatorenrolle im 
Interesse des Grundrechtsschutzes ein- 
nimmt. 

Sicherlich hat sich der Datenschutz ge- 
sellschaftlich etabliert. Zugleich erfolgte 
eine massive Kommerzialisierung. Große 
Wirtschaftsunternehmen lassen sich eine 
interne Datenschutzorganisation etwas 
kosten, um nicht durch das Bekanntwer- 
den von Verstößen und Skandalen in Ver- 
ruf zu kommen und Wettbewerbsschäden 
zu erleiden. Bei vielen Produkten, mit de- 
nen die Informatisierung unseres Alltags 
vorangetrieben werden, ist Datenschutz 
zu einem Wettbewerbsfaktor geworden, 
z.B. die Verschlüsselung von Funktelefo- 
nen, die technische Abhörsicherung von 
Anrufbeantwortern, die Wahlmöglichkeit 
anonymer Nutzungen bei Online-Diens- 
ten oder die Nutzung anonymer Prepaid- 
Chipkarten oder generell hinsichtlich des 
Angebots von datenschutzfreundlichen 
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Techniken. 

Auch an anderen Stellen hat sich 
ein Datenschutzmarkt entwickelt, z.B. 
bzgl. Seminaren oder Datenschutzli- 
teratur. So richtig es ist, dass Daten- 
schutz — in einem noch unzulänglichen 
Umfang — marktfähig geworden ist, so 
richtig ist es auch, dass der Datenschutz 
dem Markt nicht überlassen werden 
darf. Die BürgerIn kann eben ihre Pri- 
vatheit nicht immer zu Markte tragen. 
Im Interesse der Wahrung des Persön- 
lichkeitsschutzes sollte sie dies auch 
nicht müssen. 

Es gibt viele Bereiche, in denen Da- 
tenschutz nicht marktgängig sein kann, 
etwa beim Schutz von Minderheiten 
oder von technisch weniger Versier- 
ten oder bei indirekten Konsumbezie- 
hungen. Es ist leider so, dass daten- 
schutzgerechte Rahmenbedingungen 
nicht zwischen den Vertragspartnern 
ausgehandelt werden können, wenn 
technische Standards, branchenweite 
Absprachen oder gar verarbeitungsför- 
dernde Gesetze dem entgegenstehen. 
Hier sind vertrauenswürdige Dritte, 
z.B. informationstechnisch orientier- 
te Bürgerrechtsorgansiationen wie die 


DVD, als politische Lobby gefordert. 
Erst recht gilt dies natürlich weiterhin 
für den hoheitlichen Sektor, wo sich 
die Staatsbürgerln ihrer Erfassung nur 
unter Verletzung rechtlicher Normen 
entziehen kann. 

Wir wollen nicht vermessen sein. 
Aber sollte das oben Dargelegte zutref- 
fen, so muss man sich auf politischer 
Ebene Gedanken machen, wie die ge- 
sellschaftliche Aufgabe von Bürger- 
rechtsverbänden noch besser erfüllt 
werden kann. Schon zu Beginn der 90er 
Jahre wurde von der DVD vorgeschla- 
gen, grundrechtsorientierten Organisa- 
tionen in der Informationsgesellschaft 
ähnliche Rechte einzuräumen wie sie 
Verbraucherverbänden in derselben 
Konsumgesellschaft und Umweltver- 
bänden in ebenderselben Risikogesell- 
schaft gewährt werden. Gemeint sind 
Beteiligungsrechte im Rahmen von in- 
formationstechnischen Entscheidungs- 
prozessen und Klagerechte zur Gel- 
tendmachung von bürgerrechtlichen 
Risiken, die nur mit Mühe individuali- 
siert werden können. 

Die Verdatung des Menschen - z.B. 
durch das Rechenzentrum eines rie- 
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sigen Fnanzdienstleistungskonzerns, 
durch Adress- und Bonitätsauskunftei- 
en, durch Pressedatenbanken, durch frei 
verkäufliche CD-ROM oder durch eine 
online abrufbare Gebäudedatenbank, 
aber auch durch ein neues polizeiliches 
Data-Warehouse ä la INPOL-neu oder 
durch flächendeckende Videoüberwa- 
chung — hat für jeden einzelnen zwar 
eine beachtenswerte Auswirkung. Für 


Heinz Alenfelder 


die gesamte Gesellschaft sind solchen 
Formen der Informationsverarbeitung 
aber von gewaltiger Grundrechtsrele- 
vanz. Unabhängigen Verbänden müsste 
es ermöglicht werden, diese Interessen 
nicht nur politisch, sondern auch recht- 
lich verbindlich geltend zu machen. 
Zudem sollte darüber nachgedacht 
werden, wie Bürgerrechtsorganisati- 
onen in der Informationsgesellschaft 


40 Jahre im Verein — 
Urgestein oder lebendes Inventar”? 


Ein recht persönlicher Rückblick auf die ersten 20 DVD-Jahre. 


Kaum hatte ich mein Studium auf- 
genommen (nach heutigen Maßstäben 
hätte es fast schon vollendet sein sol- 
len), trat die Deutschen Vereinigung für 
Datenschutz (DVD) in mein Leben. Als 
interessierter Informatik-Student war 
ich Teilnehmer der Jahrestagung 1979 
„Gefährdet die Informationstechnolo- 
gie unsere Freiheit?“. Und wie es bei 
der DVD damals üblich war, wurde ich 
umgehend für den Vorstand angewor- 
ben. Dem folgte bald die „Beförderung“ 
zum Kassenwart des Vereins. Vielleicht 
war das meiner Fachrichtung zu dan- 
ken, denn gegründet wurde die DVD 
hauptsächlich von Juristen im „Dunst- 
kreis“ der GMD (Gesellschaft für Ma- 
thematik und Datenverarbeitung) in 
Schloss Birlinghoven bei Bonn. Den 
Überblick über die Finanzen habe ich 
bis heute als Kassenprüfer behalten. 

Halt. Stop. Interessiert das hier? Wei- 
tere Details sollte ich den werten Lese- 
rinnen und Lesern ersparen, müsste ich 
doch allzu tief in die Absurditätenkiste 
des deutschen Vereinswesens greifen. 
Obwohl, eine Episode soll‘s noch sein: 
Wegen Verstoßes gegen Einladungs- 
fristen in der Satzung wurde der zuvor 
gewählte Vorstand mit mir und weiteren 
vier Mitgliedern vom Vereinsregisterge- 
richt entlassen und ein einziges dieser 
Vorstandsmitglieder zum alleinigen Not- 
Vorstand bestimmt — dies war dann wie- 
der ich. Nach satzungsgerechter Einla- 
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dung durfte schließlich — durch die neue 
Mitgliederversammlung zum zweiten 
Mal gewählt — der komplette Vorstand 
sein Amt wieder wie zuvor bekleiden. 
Das war meine erste Begegnung mit bü- 
rokratisch kontrollierter Demokratie! 

Das Auf und Ab der DVD ist - im 
Gegensatz zur landläufigen Vorstellung 
von Vereinsleben - allerdings nicht ge- 
prägt von Rangeleien um Ämter und 
Pöstchen. Vielmehr stand im Vorder- 
grund immer die inhaltliche Arbeit, 
deren schier unüberschaubar großer 
Umfang und die immerwährende Suche 
nach (halbwegs aktiven) Mitgliedern. 
Blickte der Vorstand in den ersten 10 
Jahren noch stolz auf eine Liste mit 12 
Außenstellen in der alten Bundesrepu- 
blik, so findet die Meta-Suchmaschine 
metager.de heute mehrere hundert 
Treffer zum offiziellen Vereinsnamen. 
Als Folge des Spagats, der durch den 
Anspruch, sowohl Bürgerrechtsverein 
als auch Fachorganisation zu sein, ent- 
steht, hat sich die Mitgliederzahl der 
DVD in all den Jahren kaum verändert. 
Konstant blieb auch der Etat, der über- 
wiegend aus Mitgliedsbeiträgen finan- 
ziert wurde und wird. 

Im Vordergrund der Vereinsarbeit 
stand, neben der Erstellung von fachlich 
hochqualifizierten Stellungnahmen, der 
Beteiligung an diversen parlamentari- 
schen Anhörungen und der Durchfüh- 
rung von bundesweiten Fachtagungen, 


eine von Mitgliedsbeiträgen unabhän- 
gige Absicherung ermöglicht werden 
kann. 

Privatheit und Persönlichkeitsschutz 
ist eben nicht mehr ein Privileg geho- 
bener Gesellschaftsschichten, sondern 
eine Existenzbedingung einer demo- 
kratischen und rechtsstaatlichen Infor- 
mationsgesellschaft. 


die Herausgabe der Datenschutz-Nach- 
richten (DANA). Aufgrund einer recht 
dünnen Personaldecke konnten aber vie- 
le spannende Projekte nicht weiter ver- 
folgt werden. Dennoch: auch wenn der 
Standardsatz auf Mitgliederversamm- 
lungen „Man müsste mal ...“ lautete und 
diesem seitens der Ideengeber oft keine 
weiteren Aktionen folgten, wurden aus 
meiner Sicht vor allem durch die Pub- 
likationen sehr viele Gedanken, Ideen 
und Anregungen fixiert und verbreitet. 

Ein Manko des bundesweiten Vereins 
war die Tatsache, dass aktive Mitglieder 
zum Austausch und zu Veranstaltungen 
wie Vorstandssitzungen und Versamm- 
lungen weite Reisen in Kauf nehmen 
mussten. In den ersten 20 Jahren war die 
Konzentration im Köln-Bonner-Raum 
Grundvoraussetzung für das funktio- 
nierende Vereinsleben. Dank moderner 
Kommunikationstechniken ist die Not- 
wendigkeit langer Reisen heute kleiner 
geworden. Weiterhin ist aber die Ge- 
schäftsstelle, die nach vielen Umzügen 
einen sehr guten Heimathafen in den 
Räumen des Wissenschaftsladens Bonn 
gefunden hat, Dreh- und Angelpunkt der 
DVD. Hier laufen die Fäden der Arbeit 
zusammen. 

Was sind nun die Höhepunkte der fast 
vierzigjährigen Mitgliedschaft im Ver- 
ein? Sicherlich hat jedes Mitglied andere 
Höhepunkte erlebt. Für mich persönlich 
war es die Zeit der Vorstandsmitglied- 


125 


schaft und als verantwortlicher DANA- 
Redakteur von 1986 bis 1996. Die Daten- 
schutz-Nachrichten (DANA) avancierten 
vom anfangs rein maschinengeschriebe- 
nen, später aufwändiger gestalteten Text- 
wüstenmonster zu der Fachpublikation, 
die sie heute sind. Sie werden nicht nur in 
Fachkreisen gelesen, die DANA ist aner- 
kannt, niveauvoll und wird häufig zitiert. 
Auch zeigt die Internet-Recherche, dass 
die Zeitschrift in den meisten Hochschul- 
bibliotheken ausgeliehen werden kann. 
Die DVD präsentiert sich übrigens 
seit 1998 im WWW mit einer Web- 


Frank Spaeing 


seite, damals unter der Adresse www. 
aktiv.org/DVD, fünf Jahre später un- 
ter der heute gültigen Adresse www. 
datenschutzverein.de. Die Webseite 
ist seitdem Kommunikationsplattform 
der DVD. Wurden zur Zeiten der Bun- 
deshauptstadt Bonn Presseerklärun- 
gen im Pressehaus an die Redaktionen 
verteilt, sorgen heute E-Mail-Verteiler 
und Twitter & Co. für die Verbreitung 
von Veröffentlichungen. Lediglich die 
DANA-Ausgaben werden im ersten 
Jahr nach Erscheinen rein in Papier- 
form angeboten und sind danach erst 


Die Entwicklung der DVD 
in den letzten zehn Jahren 


Beim Lesen der verschiedenen Gruß- 
noten und vor allen Dingen beim Lesen 
der Artikel über die Geschichte der Deut- 
schen Vereinigung für Datenschutz e.V. 
(DVD) fällt mir vor allem Eines auf: Ich 
bin das (verzeihen Sie den englischen 
Ausdruck) „New kid on the block“. Und 
das in mehr als einer Hinsicht. 

Zum einen habe ich mich, als die 
DVD gegründet wurde, regelmäßig auf 
meine Grundschulbesuche gefreut, hat- 
te also noch nicht wirklich Interesse am 
Datenschutz und habe auch die meisten 
der wesentlichen frühen Entwicklungen 
(wie zum Beispiel das Volkszählungsur- 
teil von 1983), die den Datenschutz zu 
dem gemacht haben, was er heute ist, 
nicht bewusst wahrgenommen. 

Meine persönlichen ersten Berüh- 
rungspunkte mit diesem Thema ergaben 
sich interessanter Weise bei einer „Pub- 
lic Domain“-Veranstaltung des damali- 
gen FoeBud e.V. in Bielefeld, im Bunker 
Ulmenwall. Bei einem dieser Treffen 
hatte ich mich angeregt mit einem der 
Anwesenden unterhalten und hatte, da 
ich den Kontakt für mich als hilfreich 
empfand (wir haben herrlich über die 
damals aktuelle PC-Technik diskutiert), 
meinen Gesprächspartner gefragt, ob 
ich seine Telefonnummer haben dürfe. 
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Ich wollte sie mir auf meiner Liste von 
Telefonnummern der für mich wichtigen 
Personen aufschreiben (damals war das 
ein vielfach gefaltetes DIN-A4-Blatt, 
beschrieben in engen handschriftlichen 
Notizen). Er fragte mich, wozu genau 
ich denn diese Daten sammeln würde, er 
sei sehr bewusst im Umgang mit seinen 
Daten (ich bekam aber glaube ich trotz- 
dem nach weiteren Diskussionen seinen 
Namen sowie die Telefonnummer). Das 
waren damals für mich neue und span- 
nende Gedanken, mit denen er sich be- 
schäftigte. Mein Studium führte mich 
dann bald nach Berlin und damit endete 
(bevor sie richtig beginnen konnte, ich 
war immer nur interessierter Gast) mei- 
ne Karriere beim FoeBud. 

Zum anderen hat mich mein Lebens- 
lauf nicht auf dem direkten Weg zum 
Datenschutz gebracht. Es hat mich dieses 
Thema zwar seit diesen ersten Berüh- 
rungen nicht wieder losgelassen, aber 
intensiven Einfluss auf mein Leben hatte 
der Datenschutz erst wieder nach mei- 
ner Entscheidung im Jahr 2006, meine 
selbstständige Tätigkeit auf den Da- 
tenschutz hin auszurichten. Und somit 
kam ich dann zuerst mit dem Berufs- 
verband der Datenschutzbeauftragten 
Deutschlands (BvD) e.V., dann mit der 


als PDF-Dokument von der Webseite 
abrufbar. 

Abschließend bleibt das Gefühl, in 
diesem Verein mit Gleichgesinnten „an 
einem Strang“ zu ziehen und sich auf die 
jeweils aktiven Mitglieder verlassen zu 
können. Hier ist zweifelsohne bundes- 
weit die höchste Konzentration an Da- 
tenschutz-Sachverstand zu finden und 
hier gibt es auch die größte Kontinuität. 
In der Hoffnung, dass dieser Rückblick 
nicht mein letzter Beitrag zum Wohle 
des Vereins war, verbleibe ich mit besten 
Grüßen an alle Leserinnen und Leser. 


Gesellschaft für Datenschutz und Daten- 
sicherheit e.V. (GDD) und irgendwann 
im Spätherbst 2011 auch mit der DVD 
in Berührung, deren Mitglied ich zum 
Jahresende schnell noch wurde. Im Ok- 
tober 2013 wurde ich auf der Mitglieder- 
versammlung dann als Beisitzer in den 
Vorstand gewählt und auch darum bin ich 
das „New Kid on the Block“, denn vie- 
les von dem, was die DVD in den ersten 
Jahren bewegt und erreicht hat, habe ich 
meist erst nachträglich erfahren. 

Ich finde dieses Heft auch deswegen 
so spannend, da es mir, neben dem Text 
„Meilensteine“ auf der DVD-Webseite, 
den Sie als ersten Artikel abgedruckt in 
diesem Heft wahrscheinlich bereits ge- 
lesen haben, doch einige andere (durch- 
aus persönliche) Rückblicke auf 40 
Jahre DVD bietet, die mir ein besseres 
Verständnis für die DVD, der ich als 
Vorsitzender ja mittlerweile vorstehe, 
ermöglichen. 

Ich möchte diesen Artikel nun nutzen, 
Ihnen die Entwicklung der DVD in den 
letzten zehn Jahren, die ich (zumeist) 
bewusst wahrgenommen und auch be- 
gleitet habe, darstellen: 

Leider habe ich das Highlight des 
Jahres 2007, den Datenschutztag 2007 
in Bielefeld mit vielen Datenschutz- 
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prominenten, nicht wahr- und folge- 
richtig auch nicht daran teilgenommen, 
ich wäre gerne dabei gewesen. Am 
11.10.2007 fand tagsüber in der Ravens- 
berger Spinnerei in Bielefeld der Daten- 
schutztag zum 30. Jubiläum der DVD 
statt. In seinem auf Einladung der DVD 
gehaltenen Festvortrag richtete sich der 
Bundesminister a.D. Dr. Dr. h.c. Burk- 
hard Hirsch an die erschienenen Gäste. 
Die Festveranstaltung ging nach weite- 
ren Beiträgen von Prof. Dr. Wolfgang 
Däubler (Universität Bremen), padeluun 
(FoeBuD e.V.), Dr. Johann Bizer (Un- 
abhängiges Landeszentrum für Daten- 
schutz Schleswig-Holstein) und weite- 
ren namhaften Datenschützern über in 
die Verleihung der BigBrotherAwards 
2007, welche von der DVD und FoeBud 
gemeinsam mit anderen Datenschutz- 
und Bürgerrechtsvereinen vergeben 
wurden. Bielefeld war damit am 11. Ok- 
tober 2007 zur „Datenschutzhauptstadt 
Deutschlands“ geworden. Das in diesem 
Zusammenhang dem damaligen Innen- 
minister Wolfgang Schäuble die Ehren- 
mitgliedschaft für seine Verdienste um 
das Datenschutzbewusstsein? angetra- 
gen wurde, passte gut zu diesem Tag. 

Interessanterweise hat er meines Wis- 
sens nach bis heute nicht auf dieses An- 
gebot reagiert. 

Im Jahr 2008 beschäftigte die DVD 
sich neben vielen anderen Themen? (u.a. 
„Kabinett beschließt ELENA-Gesetzent- 
wurf“, „SPD will Grundrecht auf Infor- 
mationsfreiheit im Internet“ (Dieses ha- 
ben wir ja auch mit dem Urteil des Bun- 
desverfassungsgerichts vom 27.02.2008 
bekommen, welches das „Grundrecht auf 
Gewährleistung der Vertraulichkeit und 
Integrität informationstechnischer Sys- 
teme“ in den Leitsätzen des Urteils etab- 
lierte), „Innenministerium plant zentrales 
Melderegister‘“) auch mit der Aussage 
des damaligen Innenministers Wolfgang 
Schäuble „Wir hatten den ’größten Feld- 
herrn aller Zeiten‘, den GröFaZ, und jetzt 
kommt die größte Verfassungsbeschwer- 
de aller Zeiten“. 

Vielleicht ist es doch nicht so schlecht, 
dass er kein Ehrenmitglied der DVD ge- 
worden ist. 

Dass in diesem Jahr auch ein neues 
BKA-Gesetz verabschiedet wurde, passt 
da ins Bild. 

Das Jahr 2009 war dominiert durch 
die Novellierung des BDSG, welches 
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im Sommer 2009 beschlossen wur- 
de und in den wesentlichen Teilen am 
1. September 2009 in Kraft trat. Hier gab 
es intransparente Gesetzesänderungen, 
die vor Beschluss des Gesetzes nicht 
ausreichend diskutiert werden konnten, 
es wurde reichlich an der Gesetzesno- 
velle kritisiert, mal von den Verbrau- 
cherschützern, denen vieles nicht weit 
genug ging, mal von der Wirtschaft, der 
fast alles viel zu weit ging. 

Im Jahr 2010 war (wie schon einige 
Male vorher) mal wieder über ein Be- 
schäftigtendatenschutzgesetz spekuliert 
worden. Den damals veröffentlichten 
Gesetzesentwurf konnte die DVD aller- 
dings nur harsch kritisieren‘. 

Komisch, manches scheint sich regel- 
mäßig zu wiederholen. 

Im gleiche Jahr fand die gemeinsa- 
me Jahrestagung von DVD und dem 
Forum InformatikerInnen für Frieden 
und gesellschaftliche Verantwortung 
e.V. (FEF) am 05./06.11.2010 in Köln 
statt. Bei der Tagung wurden diverse 
Themen in Arbeitsgruppen bearbeitet 
und diskutiert, angefangen mit Bewer- 
berInnen-Datenschutz, Forensik, Kor- 
ruptionsbekämpfung, privacy tools/ 
Selbstdatenschutz und last but not least 
Kommunikationsüberwachung im Be- 
schäftigungsverhältnis. 

Im Jahr 2011 zog nicht nur die Ge- 
schäftsstelle der DVD in die Rheingas- 
se in Bonn, auch wurde anlässlich des 
Reformvorhabens der Kommission am 
19. Oktober 2011 zu einer Informati- 
onsveranstaltung ins Europäische Parla- 
ment eingeladen. Ende 2011 wurde der 
erste Entwurf einer neuen Datenschutz- 
gesetzgebung auf europäischer Ebene 
geleakt, die DVD war also mit ihrer 
Veranstaltung‘ brandaktuell. 
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Erinnern Sie sich noch an den Sommer 
2012? An das Halbfinale Deutschland 
gegen Italien, an das zu diesem Zeit- 
punkt beschlossene neue Melderecht’? 
Im Jahr 2012 hatte sich die DVD in 
Zusammenarbeit mit campact, FoeBud, 
vzbv und anderen Organisationen dem 
Protest gegen die Melderechtspläne der 
Bundesregierung angeschlossen und of- 
fenbar die Bundesländer überzeugt, die 
umstrittenen, weit reichenden Zugänge 
der Wirtschaft zu unseren Meldedaten 
neu zu verhandeln. Im gleichen Jahr mo- 
bilisierten Verbraucherschützer (auch 
die DVD) gegen ACTA. Und die DVD 
veranstaltete am 04.09.2012 im Europä- 
ischen Parlament zum zweiten Mal eine 
Datenschutzveranstaltung für und mit 
Parlamentarierinnen und Parlamentari- 
ern. Die Datenschutz-Grundverordnung 
(DS-GVO) fing an, ihre Schatten vor- 
auszuwerfen. 

Selbst im Jahr 2013 (zumindest noch 
im Januar“) bewegte noch das geplante 
Beschäftigtendatenschutzgesetz die Ge- 
müter. Im Meldewesen zeichneten sich 
Besserungen ab? und ein neuer Innenmi- 
nister versuchte ein neues Supergrund- 
recht zu etablieren'". Da hatte unser Ap- 
pel gemeinsam mit vielen anderen Ver- 
braucherschutzorganisationen'' wohl 
nicht viel geholfen. Der Sommer stand 
komplett im Zeichen der Snowden-Ent- 
hüllungen. Zum Ende des Jahres 2013 
kommentierten wir dann die Kandidatin 
der CDU/CSU für das Amt der neuen 
Bundesbeauftragten für Datenschutz 
und Informationsfreiheit'?. 

Sie merken vielleicht, ich habe die 
Formulierung geändert, ab der Mitglie- 
derversammlung im Herbst 2013 war ich 
Mitglied im Vorstand und habe ab dann 
die meisten Themen aktiv begleitet. 
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Im Jahr 2014 beschäftigten uns (wie- 
der einmal) die Geheimdienste!’ und 
es erschien ein neues Schreckgespenst, 
die PKW-Maut'*. Bei der Demonstra- 
tion gegen die Sonderfinanzierung des 
BND stand ich selbst an einem kalten 
Novembermorgen mit vorm Reichstag 
und schwenkte Plakate'°. Im Anschluss 
ging ich dann noch mit Kolleginnen und 
Kollegen in die an dem Tag stattfinden- 
de öffentliche Sitzung des NSA-Unter- 
suchungsausschusses'‘. Insgesamt war 
das ein spannender Tag. Auch wenn die 
Demonstration in der Nachschau nicht 
so viel gebracht hat. 

Das Jahr 2015 war anfangs auch 
noch geprägt von der Diskussion über 
die Geheimdienste, die DVD beteiligte 
sich an der Verbreitung der von vielen 
Bürgerrechtsorganisationen getragenen 
Petition gegen die Erhöhung des BND- 
Etats'”. 

Aber das Hauptthema des Jahres war 
sicherlich die DS-GVO. Im Frühjahr 
2012 war der Entwurf der EU-Kommis- 
sion veröffentlicht worden, im Oktober 
2013 konnte Jan Philipp Albrecht im 
LIBE-Ausschuss des EU-Parlaments 
seinen Verhandlungsvorschlag durch- 
bringen und dieser wurde im März 2014 
vom EU-Parlament als offizieller Parla- 
mentsentwurf beschlossen. Der EU-Rat 
hatte erst deutlich später mit seinen Ver- 
handlungen begonnen und einigte sich 
erst Anfang Juni 2015 auf einen gemein- 
samen Entwurf, der deutlich schwächer 
als der des EU-Parlaments war (auch 
dieser wurde nicht nur gelobt'°). 

Hier hatten wir nun die Chance, vor 
Beginn der Trilog-Verhandlungen zur 
DS-GVO darauf Einfluss zu nehmen. In 
Zusammenarbeit mit anderen Verbrau- 
cherschutzorganisationen konnte die 
DVD ein DANA-Sonderheft herausge- 
ben, in dem Verbraucherschutzorganisa- 
tionen, Datenschutzverbände, wichtige 
Persönlichkeiten des Datenschutzes und 
nicht zuletzt die Konferenz der Daten- 
schutzbeauftragten des Bundes und der 
Länder ihre roten Linien zur DS-GVO 
aufzeigen konnten, die nicht überschrit- 
ten werden durften'”. In sehr kräfterau- 
bender Arbeit schafften wir es (unter- 
stützt durch campact), dass wichtige 
Entscheider aus dem EU-Parlament und 
alle Mitglieder des Bundestags dieses 
Sonderheft passend zu Beginn der Ver- 
handlungen zugestellt bekamen. 
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Nebenbei war dann auch noch einmal 
schnell die Geschäftsstelle im Sommer 
2015 in neue Räumlichkeiten gezogen, 
ins WiLa in der Reuterstraße in Bonn. 
Ein Umzug, den wir nicht bedauert ha- 
ben. 

Dem Thema Datenerfassung und 
Flüchtlinge widmeten wir die DANA- 
Ausgabe 2/2015. 

Am 06.10.2015 setzte der EuGH ein 
Ausrufezeichen mit seiner Entschei- 
dung zu Safe Harbor”. Und ein anderer 
„guter alter“ Bekannter war wieder auf- 
getaucht, die Vorratsdatenspeicherung. 
Am 16.10.2016 wurde dagegen vorm 
Bundestag protestiert?'. Bei der Protest- 
aktion wurden die Unterschriften von 
über 116.000 Menschen unter einen ge- 
meinsamen Appell gegen Vorratsdaten- 
speicherung an den SPD-Bundestags- 
abgeordneten Marco Bülow übergeben. 
Die Botschaft der Protestaktion: „Nein 
zum Gläsernen Bürger! Keine Vorrats- 
daten!”. 

Dass wir die für Anfang Oktober 2015 
geplante Datenschutztagung „Vernetzt 
und überwacht“ absagen mussten, war 
und ist weiterhin schade, denn auch da- 
mit bewiesen wir eine Nase für aktuelle 
Themen, noch heute beschäftigt (nicht 
nur) uns immer mehr die Frage des Da- 
tenschutzes beim Autofahren, besonders 
auch beim (teil-Jautonomen Fahren”. 

Mitte Dezember 2015 einigten sich 
dann EU-Parlament und EU-Rat im Tri- 
log-Verfahren auf einen gemeinsamen 
Entwurf der DS-GVO. Womit das Jahr 
2015 definitiv eines der spannenderen 
gewesen ist. 

Und auch das Jahr 2016 fing turbulent 
an, mussten sich doch die EU und die 
USA auf einen Nachfolger für das ob- 
solet gewordene Safe Harbor einigen. 
Denn mit dem Urteil des EuGH war 
eine wichtige Grundlage für die Über- 
mittlung von personenbezogenen Daten 
aus der EU in die USA weggefallen. Die 
EU hatte sofort Verhandlungen aufge- 
nommen um die von den europäischen 
Aufsichtsbehörden für den Datenschutz 
gewährte Frist bis Februar 2016 nicht 
zu verschwenden. Allerdings dauerte 
es dann doch noch recht lange, bis es 
einen Nachfolger für Safe Harbor gab, 
den EU-US Privacy Shield — der übri- 
gens nicht wirklich besser ist als Safe 
Harbor war, aber das ist (nicht) nur mei- 
ne persönliche Meinung. Diesen Prozess 


begleiteten wir (wie viele andere Orga- 
nisationen auch) u.a. durch Pressemit- 
teilungen?. 

Anfang des Jahres 2016 äußerten wir 
uns erneut zu einer Wahl einer Auf- 
sichtsbehördenleitung”®. Ich erinnere 
mich noch lebhaft an viele Diskussionen 
mit Vertretern verschiedener Aufsichts- 
behörden zu diesem und dem nächsten 
offenen Brief? zu Wahlen von Auf- 
sichtsbehördenleiterInnen. 

Unabhängig davon ging es mit 
der DS-GVO in den Endspurt. Am 
27.04.2016 wurde sie beschlossen 
und am 04.05.2016 im europäischen 
Amtsblatt veröffentlicht” und trat am 
25.05.2016 in Kraft. 

Anlass genug für uns, in einem Son- 
derheft der DANA (2/2016) wieder die 
Organisationen und wichtigen Persön- 
lichkeiten des Datenschutzes zu ihrer 
Meinung nach der Einhaltung der im 
Sonderheft 3/2015 gesetzten roten Lini- 
en zu befragen””. 

Und natürlich befassten wir uns aus- 
führlich mit dem zu erwartenden Nach- 
folger des Bundesdatenschutzgesetzes, 
welches zum 25.05.2018, zum Gültig- 
werden der DS-GVO nicht mehr an- 
wendbar sein wird. Schon im August 
2016 forderten wir gemeinsam mit Di- 
gitalcourage (ehemals FoeBud) ein ver- 
besserndes Datenschutzgesetz, welches 
die Konkretisierungsmöglichkeiten, die 
die DS-GVO bietet, zu Gunsten der Be- 
troffenen nutzen sollte”. Eigentlich hät- 
ten wir es besser wissen können. 

Nachdem sich das DANA-Heft 3/2016 
mit dem Thema Beschäftigtendaten- 
schutz in neuen Gewändern (im Rahmen 
der DS-GVO und des zu erwartenden 
BDSG-Nachfolgers) beschäftigte und 
nebenbei auch ausführlich über Poke- 
mon GO berichtete” (erinnern Sie sich 
noch an die Horden von auf ihre Handys 
starrenden Menschen, die sich weltweit 
lawinenartig durch die Städte und Lande 
bewegten, immer auf der Jagd nach dem 
nächsten Pok&mon?), wir uns im Herbst 
2016 mit dem Videoüberwachungsver- 
besserungsgesetz’’ und dem neu zu wäh- 
lenden Landesbeauftragten für den Da- 
tenschutz in Mecklenburg-Vorpommern 
beschäftigten durften (s.o.) wurde dann 
Ende November 2016 der erste Entwurf 
des Nachfolgers des BDSG veröffent- 
licht. Und meine Güte, was war der Ent- 
wurf schlecht! Er war so schlecht, dass 
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wir wieder (wie auch schon beim Vi- 
deoüberwachungsverbesserungsgesetz) 
eine (dieses Mal sehr ausführliche) Stel- 
lungnahme gemeinsam mit dem Netz- 
werk Datenschutzexpertise erstellen und 
veröffentlichen?! mussten. Das war kein 
schönes Geschenk zum Jahresende für 
uns Betroffene. Aber es war ja nur ein 
erster Entwurf. Wie gesagt, wir hätten es 
ahnen können. 

Im Jahr 2017 ging es mit einer Pres- 
semitteilung zum Vorschlag der EU zur 
Abschaffung des anonymen Bezahlens 
im Internet” weiter („Kein gläserner 
Zahlungsverkehr zwecks Terrorismusbe- 
kämpfung‘“) und wir hatten noch diverse 
Entwürfe des BDSG-Nachfolgers (der, 
man glaubt es kaum wie kreativ, Bundes- 
datenschutzgesetz (neue Fassung) heißen 
soll) zu kommentieren”. Und dann hat- 
ten wir konsterniert zur Kenntnis zu neh- 
men, dass eine leidlich entschärfte aber 
trotzdem nicht wirklich gut zu nennende 
Version beschlossen und verkündet wur- 
de’. Ob nun einige Verbraucherschutz- 
organisationen gegen einzelne Passagen 
des BDSG-neu vorgehen werden, sobald 
es gültig geworden ist, oder ob die EU 
ein Vertragsverletzungsverfahren gegen 
Deutschland starten wird, weil einzelne 
Teile des BDSG-neu europarechtswid- 
rig” sind, bleibt abzuwarten. 

In Abwandlung eines bekannten Satzes 
kann festgehalten werden: „Ob Du Recht 
hast oder nicht, sagt Dir das Gericht...“ 

Was hat uns in diesem Jahr noch be- 
wegt? Nun ja, die EU-Kommission 
möchte parallel zur DS-GVO auch noch 
die ePrivacyVO°° an den Start bringen. 
Der deutsche Gesetzgeber steht vor 
der nicht gerade kleinen Aufgabe, alle 
deutschen Gesetze auf Kompatibilität 
mit der DS-GVO zu prüfen und diese 
wo notwendig zu ändern. Schade, dass 
er dabei regelmäßig versucht, über das 
Ziel hinauszuschießen’”. Damit Gesetze 
gut werden, braucht es transparente Ge- 
setzgebungsverfahren. Aber so eine Er- 
wartung vor einer Bundestagswahl...? 

Apropos Bundestagswahlen. Vor der 
Bundestagswahl 2017 hatten alle Par- 
teien in Parteiprogrammen zum Thema 
Datenschutz Stellung genommen (oder 
auch nicht)®*. 

Aber Sie wissen ja nun mittlerweile 
selbst, was bei dieser Bundestagswahl 
herausgekommen ist. Wir dürfen mehr 
als gespannt sein, welche Bedeutung 
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Datenschutz für die nächste Bundesre- 
gierung haben wird. 

Aus Vereinssicht hatten die letzten 
Jahre durchaus auch ihre turbulenten 
Seiten: 

Ab dem Jahr 2014 ergaben sich im 
Vorstand der DVD gravierende Verän- 
derungen. Karin Schuler trat Anfang 
Dezember 2014 von ihrem Amt als 
Vorsitzende zurück (sie wurde abgelöst 
durch Sönke Hilbrans, der als erster 
Stellvertreter auf den Vorsitz nachrück- 
te, neue Stellvertreter wurden Jaqueline 
Rüdiger als Kassiererin und ich). Sön- 
ke Hilbrans hatte eigentlich vor, aus 
dem Vorstand auszuscheiden (wie auch 
Karin Schuler auf Grund von überbor- 
dender Arbeitslast und dem Wunsch 
nach Verwirklichung neuer Herausfor- 
derungen), stellte seinen Wunsch aber 
im Sinne einer strukturierten Übergabe 
und zur Sicherung der Kontinuität der 
Vorstandsarbeit hintan. Als Vorsitzender 
blieb er uns bis zur Mitgliederversamm- 
lung 2015 erhalten, bis zur Mitglieder- 
versammlung 2016 unterstützte er den 
Vorstand noch als Beisitzer. Auch Ro- 
bert Colombara, der die letzten Jahre als 
Kassierer tätig gewesen war, kündigte in 
der außerordentlichen Vorstandssitzung 
am 06.12.2014 seinen baldigen Rück- 
tritt an (mit ähnlichen Argumenten wie 
Karin Schuler und Sönke Hilbrans). Die 
Jahre 2014 und 2015 waren also geprägt 
von personellen Veränderungen des 
Vorstands, die bis ins Jahr 2016 Auswir- 
kungen hatten und sich auch in diesem 
Jahr fortsetzten. Jaqueline Rüdiger, die 
stellvertretende Vorsitzende und Kas- 
siererin schied aus familiären Gründen 
zu Jahresbeginn aus dem Vorstand aus 
und wurde von Riko Pieper, der erst im 
Herbst 2015 als Beisitzer dazu gekom- 
men war, ersetzt. 

Auch die Geschäftsstelle hatte in den 
Jahren zwei personelle Wechsel zu ver- 
kraften, der neue Vorstand hatte also 
schon allein mit interner Organisation 
genug zu tun. Besonderer Dank gebührt 
an dieser Stelle Reinhard Linz, der sich 
der Geschäftsstelle zusammen mit der 
Kassiererin annahm und alle Prozesse 
nach den neuen Rahmenbedingungen 
strukturierte und begleitete (seit seiner 
Wahl in den Vorstand bei der Mitglie- 
derversammlung im Herbst 2014). Mit 
Werner Hülsmann im Jahr 2014 und 
Thilo Weichert im Jahr 2015 konnten 


wir außerdem auch zwei Alt-Vorstände 
wieder für die Vorstandsarbeit gewin- 
nen, beide haben sich in den letzten Jah- 
ren intensiv für die DVD eingebracht. 

Also waren die letzten Jahre nicht nur 
durch intensive Veränderungen im Da- 
tenschutzumfeld geprägt, auch DVD- 
intern hatten wir einige Baustellen, an 
denen sich der Vorstand abzuarbeiten 
hatte. Heißt es nicht angeblich in einem 
chinesischem Sprichwort „Mögest Du 
in interessanten Zeiten leben‘? Inter- 
essante Zeiten fürwahr. 

Die Tatsache, dass wir in diesen inte- 
ressanten Zeiten nicht alleine da stehen, 
dass es immer wieder Partnerorganisa- 
tionen und Mitstreiter gegeben hat und 
auch weiterhin geben wird, mit denen 
wir gemeinsam Projekte durchführen, 
ist an der Stelle durchaus beruhigend. 

Lassen Sie mich den Rückblick noch 
mit einer aus DVD-Sicht erfreulichen 
Tendenz abschließen: Seit dem Jahr 
2015 verzeichnen wir regelmäßig stei- 
gende Zahlen an Neumitgliedern, allein 
in diesem Jahr haben wir schon zwan- 
zig neue Mitglieder (fast so viele wie in 
den Jahren 2015 und 2016 zusammen) 
gewonnen. 

Dies zeigt uns zum einen, dass das 
Thema Datenschutz so aktuell ist wie 
selten zuvor (Wie sollte das in interes- 
santen Zeiten auch anders sein?) und 
dass die DVD zum anderen durchaus 
viel wahrgenommen wird. 

Beides sind keine schlechten Zeichen 
und eine nach Mitgliederzahlen wach- 
sende DVD sorgt für den dauerhaften 
Bestand. 

Und wenn wir uns die Grußnoten in 
diesem Heft so anschauen, scheinen wir 
ja in den letzten 40 Jahren Einiges rich- 
tig gemacht zu haben und als relevant 
und wichtig wahrgenommen zu werden. 
Beste Voraussetzung also für die nächs- 
ten 40 Jahre. 

In diesem Sinne wünsche ich uns allen 
viel Kraft und Durchhaltevermögen um 
den Datenschutz auch in den nächsten 
Jahren gegen alle Widrigkeiten voran- 
zubringen. 


1 https://www.datenschutzverein.de/ 
vereinsprofil/meilensteine/ 


2 Zitat aus der damaligen Pressemitteilung 
zum Datenschutztag 2007: “Mit einer 
nicht enden wollenden Serie von Vor- 
schlägen zum Abbau des Datenschutzes 
und zum Aufbau einer umfassenden 
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40 Janre DVD 


staatlichen Überwachung aller Menschen 
in Deutschland hat er die Öffentlichkeit 
nachhaltig schockiert und das Bewusst- 
sein dafür geschärft, dass Datenschutz 
eine notwendige Voraussetzung für die 
Freiheit in einer modernen Gesellschaft 
ist.” 


3 Im Jahresregister 2008 (wie auch in den 
Jahresregistern der anderen Jahre) kann 
hervorragend nachvollzogen werden, 
was damals die Branche bewegte: 
https://www.datenschutzverein.de/ 
wp-content/uploads/2013/07/ 

DAN ARegister2008.pdf 


4 https://www.datenschutzverein.de/wp- 
content/uploads/2013/07/2010_PE_ 
Beschaeftigtendatenschutzgesetz.pdf 


5 http://statewatch.org/news/2011/dec/ 
eu-com-draft-dp-reg-inter-service- 
consultation.pdf 


6 wie manches Mal in den letzten Jahren, 
z.B. auch hier: 
https://www.datenschutzverein.de/wp- 
content/uploads/2013/07/2011_EU-RiLi. 
pdf 


7 http://www.spiegel.de/politik/ 
deutschland/meldegesetz-bundestag- 
stimmte-im-express-tempo-ab-a-843337. 
html 


8  https://www.datenschutzverein.de/wp- 
content/uploads/2013/03/2013_O01_ 
BeschDSG02.pdf 


9 https://www.datenschutzverein.de/wp- 
content/uploads/2013/03/2013_02 _ 
MelderechtAbschluss.pdf 


10 https://www.welt.de/politik/deutschland/ 
articlel18110002/Friedrich-erklaert- 
Sicherheit-zum-Supergrundrecht.html 


11 https://www.datenschutzverein.de/ 
wp-content/uploads/2013/07/2013_05- 
OB_IM Friedrich.pdf 


12 https://www.datenschutzverein.de/wp- 
content/uploads/2013/12/2013_12_BfDI. 
pdf 


13 https://www.datenschutzverein.de/ 
wp-content/uploads/2014/06/2014_06- 
Geheimdienste.pdf 


14 https://www.datenschutzverein.de/wp- 
content/uploads/2014/11/2014_11-Maut. 
pdf 


15 https://www.datenschutzverein.de/wp- 
content/uploads/2014/11/2014_ 
BNDDemo.pdf 


16 https://netzpolitik.org/tag/nsa- 
untersuchungsausschuss/ 


17 https://www.datenschutz- 
verein.de/wp-content/ 
uploads/2015/04/2015-01- 
BND-Etat-Erhoehung- 
stoppen.pdf 
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18 siehe zum Beispiel auch hier zum Ein- 
fluss von Lobbyisten: 
http://www.lobbyplag.eu/map 


19 https://www.datenschutzverein.de/wp- 
content/uploads/2016/10/DANA 15 3_ 
Heft.pdf 


20 https://www.datenschutzverein.de/wp- 
content/uploads/2015/10/2015-10-12_ 
DVD-PM _EuGH_zu_Safe_Harbor.pdf 


21 https://www.datenschutzverein.de/wp- 
content/uploads/2015/10/2015-10-16- 
DVD-PM-Protest_ vor dem Reichstag 
gegen_Vorratsdatenspeicherung.pdf 


22 https://www.bfdi.bund.de/SharedDocs/ 
Publikationen/EN/InternationalDS/ 
2017_39thIDSK_HongKong 
ResolutionOnDataProtection 
AutomatedAndConnectedVehicles.html 


23 https://www.datenschutzverein.de/ 
wp-content/uploads/2016/02/2016-02- 
03-DVD_zu_EU-US-Privacy_shield. 
pdf und https://www.datenschutzverein. 
de/wp-content/uploads/2016/03/2016- 
03-01-DVD_ schockiert ueber _EU- 
US-Privacy_shield.pdf und https:// 
www.datenschutzverein.de/wp-content/ 
uploads/2016/07/2016-07-01-DVD-PE- 
EU-US-PrivacyShield.pdf und https:// 
www.datenschutzverein.de/wp-content/ 
uploads/2016/07/2016-07-12-DVD-PE- 
EU-Kommssion_beschliesst_Privacy- 
Shield.pdf 


24 https://www.datenschutzverein.de/ 
wp-content/uploads/2016/01/Offener- 
Brief-der-DVD-an-die-Berliner-SPD- 
Fraktion-zur-Nominierung-der-BDI- 
Kandidatin-vom-16.01.2016.pdf 


25 https://www.datenschutzverein.de/wp- 
content/uploads/2016/11/2016-11-DVD- 
PE-LfDI-MV.pdf 


26 http://eur-lex.europa.eu/legal- 
content/DE/TXT/?uri=uriserv 
:OJ.L_.2016.119.01.0001.01. 
DEU&toc=OJ:L:2016:119:TOC 


27 https://www.datenschutzverein.de/wp- 
content/uploads/2016/07/DANA_16_2_ 
Inhalt.pdf 


28 https://www.datenschutzverein.de/wp- 
content/uploads/2016/07/PM-2016-08- 
01-BDSG-Nachfolgegesetz.pdf 


29 https://www.datenschutzverein.de/wp- 
content/uploads/2016/10/DANA_16 3_ 
Inhalt.pdf 


30 https://www.datenschutzverein.de/wp- 
content/uploads/2016/11/PM _ 
Videoueberwachung_07112016.pdf 


31 https://www.datenschutzverein.de/wp- 
content/uploads/2016/12/ 
Stellungnahme_BDSG-neu_DVD_NW- 
DSE_20161204_Web.pdf 


32 https://www.datenschutzverein.de/ 
wp-content/uploads/2017/01/Kein_ 
glaeserner_Zahlungsverkehr_zwecks_ 
Terrorismusbekaempfung.pdf 


33 https://www.datenschutzverein.de/wp- 
content/uploads/2017/02/2017-02-01- 
DVD-PE-BDSG-RegE.pdf und https:// 
www.datenschutzverein.de/wp-content/ 
uploads/2017/04/2017-04-26-PE-DVD- 
BDSG-neu-Bundestag.pdf 


34 Dieses war uns als DVD keine Presse- 
meldung mehr wert, deswegen: 
https://www.bvdnet.de/bdsg-n-f- 
dsanpug-eu-im-bundesgesetzblatt- 
veroeffentlicht/ 


35 https://netzpolitik.org/2017/grosse- 
koalition-will-neues-datenschutzgesetz- 
diese-woche-verabschieden- 
sachverstaendige-aeussern-massive- 
kritik/ 

36 https://www.datenschutzverein.de/wp- 
content/uploads/2017/05/2017-05-31- 
PE-DVD-ePrivacyVO.pdf 


37 https://www.datenschutzverein.de/wp- 
content/uploads/2017/05/2017-05-30- 
DVD-PM-Bundesversorgungsgesetz.pdf 


38 https://www.udldigital.de/ 
wahlprogramme-im-vergleich- 
datenschutz/ 

39 https://de.wikipedia.org/wiki/ 
M%C3%Bögest du in interessanten _ 
Zeiten leben 


IN 
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DATENSCHUTZ GESTALTEN 


Liebe Kolleginnen und Kollegen der 
DVD, 


geht es um Datenschutz, nehmt ihr 
— während wir uns als Berufsverband 
oft streng an unsere Satzungsvorgaben 
gebunden fühlen — kein Blatt vor den 
Mund. Ihr sprecht Missstände klipp 
und klar an, kritisiert auch mal mit spit- 
zer Feder — aber stets im Rahmen ei- 
nes sachlichen Diskurses. 

Und selbst wenn manchmal Frust 
durchblickt: Das ist durchaus erlaubt. 
Denn oft begegnet uns Datenschützern 
naive Technikgläubigkeit und unrea- 
listische Erwartungen an die „digital 
Correctness“ von Digital-Unterneh- 
men. Aber der Markt regelt nichts 
selbst — was man seit Jahren überall 
sehen kann. Gerade deshalb ist die 
Botschaft, die von eurer Arbeit aus- 
geht, nämlich Missstände aufzuzeigen 
und Lösungen anzubieten, heute wich- 
tiger denn je. 


Wenn es die DVD nicht gäbe, 
man müsste sie erfinden! 


Ich darf wohl sagen, dass diese Ar- 
beit Früchte getragen hat. Natürlich 
kann sich niemand diese Lorbeeren al- 
lein anheften. Gerade in Deutschland 
und Europa haben viele „Überzeu- 
gungstäter“ dazu beigetragen, dass wir 
ein EU-Datenschutzrecht bekommen, 
welches - bei aller Kritik — das Zeug zu 
einem echten Exportschlager hat. 

Nicht nur die Menschen in Deutschland 
und Europa sehnen sich nach einem bes- 
seren Schutz ihrer Persönlichkeitsrechte. 
In vielen anderen Ländern, vor allem in 
den sogenannten Drittstaaten, treten im- 
mer wieder auch Verbände für den Schutz 
der Bürgerinnen und Bürger vor Daten- 
missbrauch ein. Deshalb lohnt es sich, 
weiterzukämpfen für einen Datenschutz, 
der auch zukünftig Wirtschaft und Politik 
auf die Finger oder gerne auch auf den 
Mund schaut, damit die digitale Evolution 
in vertretbaren Bahnen verläuft. 

Wir gratulieren euch zum Jubiläum 
und wünschen weiter viel Energie und 


» digitalcourage 


Liebe Gründer.innen, Mitglieder und 
Aktive der DVD, 


Digitalcourage gratuliert euch aufs 
Herzlichste zum 40. Geburtstag! 

Menschen sind schon erstaunt, wenn 
wir ihnen erzählen, dass wir uns 1987 
gegründet haben. Ihr aber seid uns noch 
um zehn Jahre voraus gewesen. Schon 
1977 eine Organisation für Datenschutz 
als Menschenrecht zu gründen, das 
zeugt von Weitblick — Chapeau! Und 
dass die DVD auch weiterhin aktiv ist, 
das zeugt von Hartnäckigkeit. Also: 

Weitblick und Hartnäckigkeit — beides 
brauchen wir im Kampf für Grundrech- 
te. Egal, welche Themen-Moden, Kon- 
zern-PR oder Netz-Filterblasen gerade 
die Medien beherrschen - es ist wichtig, 
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an den grundsätzlichen Dingen dran- 
zubleiben, ohne die vieles andere auch 
nichts wert wäre. 

Wir schätzen uns glücklich, dass die 
DVD seit 2000 — also seit Anfang an 
— bei der Verleihung der BigBrother- 
Awards mitwirkt — eure Fachkompetenz 
ist unverzichtbar in der Jury! Ein persön- 
liches „Danke“ an Karin Schuler, Sönke 
Hilbrans, Frans Valenta, Werner Hüls- 
mann und last but not least Thilo Weichert. 

Ihr bleibt nicht bei Detailfragen der 
Durchführung von Datenschutzgesetzen 
stehen, sondern schaut über den Tellerrand 
hinweg und engagiert euch für die verda- 
teten Bürgerinnen und Bürger — und das 
heißt für die Allgemeinheit. Und so haben 
wir schon bei einigen „Runden Tischen“ 
in Ministerien uns zusammen die Haare 


Durchblick, damit ihr diese wichtige 
Aufgabe weiterhin stemmen könnt. Wie 
in der Vergangenheit werden wir — da- 
von bin ich überzeugt — immer wieder 
Wege gemeinsam oder zumindest abge- 
stimmt gehen. 


Thomas Spaeing 
Vorstandsvorsitzender 

Berufsverband des Datenschutzbeauf- 
tragten Deutschlands (BvD) e.V. 


Der BvD: Die Interessenvertretung 
der Datenschutzbeauftragten 

Der Berufsverband der Datenschutz- 
beauftragten Deutschlands (BvD) e.V. 
fördert die beruflichen Interessen der 
Datenschutzbeaufiragten in Behörden 
und Betrieben und setzt sich aktiv für 
die weitere Akzeptanz des Berufsbildes 
„Datenschutzbeaufiragter“ ein — als 
einziger Verband in Deutschland. 


gerauft und etliche Aktionen und Kam- 
pagnen für besseren Datenschutz gemein- 
sam gestemmt. 

Wir möchten euch ganz herzlich dan- 
ken. Eure Fachkompetenz und euer 
Engagement sind wichtig für die gan- 
ze Datenschutz-Bewegung! Wir wün- 
schen euch von Herzen viel Erfolg für 
die nächsten 40 Jahre. Noch mehr wün- 
schen wir uns allen, dass wir gar nicht 
mehr so lange brauchen, um Europa 
zum Datenschutz-Paradies zu machen, 
das globales Vorbild ist. 


Jetzt lasst euch feiern! 
Allerbeste Grüße 


//Rena Tangens, padeluun & 
das ganze Digitalcourage-Team 
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Digitalcourage e.V. engagiert sich 
seit 1987 für Grundrechte, Daten- 
schutz und eine lebenswerte Welt im 
digitalen Zeitalter. Digitalcourage 
organisierte (damals noch unter dem 
alten Namen „FoeBuD e.V.,“) die Ver- 
anstaltungsreihe „Public Domain“ 
und baute ab 1989 den Netzknoten 


DSK 


DATENSCHUTZKONFERENZ 


Als diesjährige Vorsitzende der Kon- 
ferenz der unabhängigen Datenschutzbe- 
hörden des Bundes und der Länder (DSK) 
gratuliere ich der Deutschen Vereinigung 
für Datenschutz e.V. (DVD) ganz herz- 
lich zu ihrem 40jährigen Bestehen. Ein 
solches Jubiläum ist ein guter Anlass, das 
Vergangene Revue passieren zu lassen, 
die Gegenwart zu würdigen und zugleich 
einen Blick in die Zukunft zu richten. 

Nahezu zeitgleich mit der DVD hat 
die DSK, die heute aus der Bundesda- 
tenschutzbeauftragten, den Landesdaten- 
schutzbeauftragten der 16 Bundesländer 
und dem Präsidenten des Bayerischen 
Landesamtes für Datenschutzaufsicht be- 
steht, ihre Arbeit aufgenommen. Schon 
damals erschien eine gewisse Koope- 
ration und Koordination in Fragen des 
Datenschutzes sinnvoll und notwendig. 
Waren es ursprünglich nur regelmäßige 
Treffen, hat sich die DSK inzwischen zu 
einem Gremium entwickelt, das heute ein 
nicht zu unterschätzendes Gegengewicht 
zu den politischen Akteuren auf Bundes- 
und Landesebene darstellt. 

Aktuell stehen die Datenschutzbehör- 
den vor der Aufgabe, sich neu aufzustel- 
len: Egal, ob Safe-Harbour-Urteil, die 
europäische Datenschutzgrundverord- 
nung oder die Novellierung des Bundes- 
datenschutzgesetzes — der europäische 
und damit auch der deutsche Datenschutz 
befinden sich derzeit im Umbruch. Alle 
Institutionen, Verbände und Organisati- 
onen, die sich für den Datenschutz und 
das Recht auf informationelle Selbstbe- 
stimmung in Deutschland stark machen, 
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BIONIC und die MailBox-Netze Zer- 
berus, CL und Zamir Transnational 
Network mit auf. 

Seit 2000 verleiht Digitalcourage 
Jährlich gemeinsam mit anderen Bürger- 
rechtsorganisationen die BigBrother- 
Awards („Die Oscars für Überwa- 
chung‘, schrieb Le Monde). 


Digitalcourage ist gemeinnützig und 
unabhängig und finanziert sich durch 
Fördermitgliedschaften und Spenden. 
2008 erhielt Digitalcourage die Theo- 
dor-Heuss-Medaille für besonderen 
Einsatz für die Bürgerrechte, 2015 den 
taz-Panter-Preis für die Helden des All- 
tags. 


Grußwort der Landesbeauftragten für den Daten- 
schutz Niedersachsen und Vorsitzenden der Konfe- 
renz der unabhängigen Datenschutzbehörden des 
Bundes und der Länder 2017, Barbara Thiel 


stehen, genauso wie die Datenschutzbe- 
hörden auf nationaler und europäischer 
Ebene, vor großen Herausforderungen 
und sehen sich mit zahlreichen Verände- 
rungsprozessen konfrontiert. Insbesonde- 
re in Deutschland, mit seiner föderalen 
Ordnung, ergeben sich hierbei ganz spe- 
zielle Herausforderungen. Es gilt in Eu- 
ropa mit einer Stimme zu sprechen, ohne 
die bewährte Struktur aufzugeben. 

Nach wie vor sind meine Kolleginnen 
und Kollegen und auch ich fest davon 
überzeugt, dass ein hohes Datenschutz- 
niveau nicht nur dazu dient, die Einhal- 
tung der Rechte jedes Einzelnen zu ga- 
rantieren. Denn die Gewährleistung und 
Einhaltung anspruchsvoller Datenschutz- 
richtlinien muss letztlich kein Hemmnis 
für Wirtschaftswachstum darstellen. Viel- 
mehr kann hieraus eine Art Qualitätssie- 
gel kreiert werden, dass deutsche und eu- 
ropäische Unternehmen für Kunden und 
Verbraucher attraktiv und im internatio- 
nalen Vergleich wettbewerbsfähig macht. 
Vor allem im Zusammenhang mit der 
fortschreitenden Digitalisierung können 
sich für Unternehmen unter diesem As- 
pekt ganz neue Möglichkeiten ergeben, 
wenn sie den hohen Wert des Rechts auf 
informationelle Selbstbestimmung für 
eine freiheitliche Gesellschaft achten und 
sich nachdrücklich vertrauensbildend für 
die Persönlichkeitsrechte einsetzen. Da- 
tenschutz stellt kein Hindernis für die Di- 
gitalisierung dar, sondern ist wesentliche 
Voraussetzung für deren Gelingen. 

Mehr denn je sind Datenschützer aber 
auch darin gefordert, mit der Wirtschaft 


als vornehmlichen Treiber der Digita- 
lisierung in einen Dialog zu treten und 
als Ansprechpartner präsent zu sein. Die 
Herausforderung besteht an dieser Stelle 
zweifelsohne darin, die Persönlichkeits- 
rechte von Bürgerinnen und Bürgern zu 
wahren und den Unternehmen gleichzei- 
tig die Nutzung technologischen Fort- 
schritts zu ermöglichen. Umsetzen las- 
sen sich diese Ziele beispielsweise dann, 
wenn Unternehmen, Datenschützer aber 
auch Verbände und Nichtregierungsor- 
ganisationen über geeignete Plattformen 
und Kommunikationskanäle zu einem 
verstetigten Dialog finden. 

Organisationen wie die DVD sind in 
diesem Zusammenhang vielleicht wich- 
tiger als jemals zuvor. Denn sie sorgen 
dafür, dass der staatliche Datenschutz 
nicht die einzige Stimme ist, die für die 
Wahrung der Bürgerrechte eintritt. 

Seit vier Jahrzehnten engagiert sich 
Ihre Vereinigung für die Belange der Bür- 
gerinnen und Bürger in Sachen des Da- 
tenschutzes. Im Laufe dieser Zeit haben 
Sie nicht nur Expertise in diesem Fachge- 
biet erlangt und sind selbst zu einer Ins- 
titution gewachsen, deren Meinung heute 
nur noch schwer zu überhören ist. Sie 
haben außerdem bewiesen und beweisen 
es nach wie vor, wie wichtig aktive und 
streitbare Akteure unserer Zivilgesell- 
schaft für ein funktionierendes Zusam- 
menleben innerhalb einer Demokratie 
sind und wie leistungsstark die Zivilge- 
sellschaft sein kann. 

Wie gut die Zusammenarbeit zwischen 
den unabhängigen Datenschutzbehörden 
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und der DVD funktioniert, lässt sich auch 
an Publikationen wie den „Roten Linien 
zur EU-DSGVO“ ablesen. Ihnen ist es 
zu verdanken, dass noch vor der Einfüh- 
rung der DSGVO ein umfassendes Stim- 
mungsbild profilierter Datenschützer aus 
dem staatlichen und dem zivilgesell- 
schaftlichen Bereich vorgelegen hat und 
auf Gefahren und Kritikpunkte im Zu- 
sammenhang mit dem neuen EU-Recht 
aufmerksam gemacht werden konnte. 
Dass die DVD diesen Einsatz nun be- 
reits seit 40 Jahren zeigt, ist ein Grund 


H +B.. . . F * Forum Informatikerinnen für Frieden 
und gesellschaftliche Verantwortung e.V. 


Vor zehn Jahren gratulierte der dama- 
lige FIfF-Vorsitzende Hans-Jörg Kre- 
owski der Deutschen Vereinigung für 
Datenschutz mit den folgenden Worten 
zum 30. Jubiläum: 

„Wie nötig der Schutz vor Missbrauch 
personenbezogener Daten war und ist, 
zeigen die bis heute ungezählten Ver- 
stöße gegen den Datenschutz und die 
nicht minder häufigen Initiativen und 
Aktivitäten von Behörden, Polizei, Jus- 
tiz, Ministerien und parlamentarischen 
Gremien, den Datenschutz zu unterlau- 
fen, auszuhebeln und einzuschränken“, 

und DVD-Vorstandsmitglied Thilo 
Weichert schrieb: 

„Privatheit und Persönlichkeitsschutz 
sind eben nicht mehr Privilegien geho- 
bener Gesellschaftsschichten, sondern 
eine Existenzbedingung einer demokra- 
tischen und rechtsstaatlichen Informati- 
onsgesellschaft. 30 Jahre Deutsche Ver- 
einigung für Datenschutz sind hierfür 
noch nicht genug.“ 

Trotzdem erlebten wir auch in den 
vergangenen zehn Jahren ein stetig 
wachsendes Ausmaß an Überwachung 
und Datenschutzverletzungen. Die Ent- 
hüllungen von Edward Snowden zeigten 
uns, wie wir umfassend durch Geheim- 
dienste wie die US-amerikanische NSA, 
das britische GCHQ oder den deutschen 
BND ausgespäht werden. Versuche, dies 
aufzuklären, laufen ins Leere; Befugnis- 
se der Geheimdienste werden erweitert, 
rechtswidriges Handeln von Behörden 
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zum Feiern. Vor allem ist es aber ein An- 
lass, Anerkennung für das Geleistete aus- 
zusprechen - für eine kritische Auseinan- 
dersetzung und für mahnende Appelle in 
Zeiten, in denen Themen des Datenschut- 
zes angesichts terroristischer Bedrohung 
nur eine untergeordnete Rolle zu spielen 
scheinen. 

Insbesondere weil Ihre Organisation 
aus der Gesellschaft heraus und ehren- 
amtlich agiert, ist sie eine glaubwürdige, 
authentische und damit für den Daten- 
schutz unverzichtbare Stimme. Hier- 


gesetzlich legalisiert. Die Ergebnisse ei- 
ner parlamentarischen Untersuchungs- 
kommission hat man nicht einmal abge- 
wartet, bevor die nächsten, erweiterten 
Befugnisse für Sicherheitsbehörden ver- 
abschiedet wurden. 

Doch auch der gesetzliche Daten- 
schutz ist bedroht. Fortschritte der EU- 
Datenschutz-Grundverordnung werden 
bei der Anpassung an deutsches Daten- 
schutzrecht konterkariert. Die deutsche 
Delegation — so hört man — habe sich 
als einer der größten Bremser bei der 
Fortschreibung des europäischen Daten- 
schutzrechts erwiesen. 

Vor uns stehen gleichzeitig große He- 
rausforderungen. Unter dem Schlagwort 
Big Data und mit fortgeschrittenen Me- 
thoden und Techniken der Auswertung 
großer, unstrukturierter Datenmengen 
entstehen seit einiger Zeit neue Risi- 
ken. Unsere „analogen“ Aktivitäten 
werden in digitale Daten übersetzt und 
auswertbar gemacht, beispielsweise 
durch Sensoren oder mit Hilfe von Vi- 
deoüberwachung. Basis für diese Digi- 
talisierung ist das Smartphone, das die 
meisten von uns freiwillig (und gern) 
mit sich herumtragen. Unternehmen 
entwickeln neue Dienstleistungen und 
Geschäftsmodelle, die auf diesen Da- 
ten basieren. Gleichzeitig werden diese 
Dienste intensiv genutzt — sie erhöhen 
den Komfort, erleichtern unser tägliches 
Leben und eröffnen neue Möglichkei- 
ten. In diesem Spannungsfeld muss der 


für möchte ich Ihnen, auch im Namen 
meiner Kolleginnen und Kollegen in 
der Konferenz der unabhängigen Daten- 
schutzbehörden des Bundes und der Län- 
der, meinen Dank aussprechen. Ich wün- 
sche Ihnen und uns, dass Sie auch in den 
kommenden Jahren ohne Scheu und mit 
anerkennenswerter Beharrlichkeit Prob- 
leme und Risiken im Datenschutz offen 
benennen und sich weiterhin engagiert 
für die Wahrung der Rechte der Bürge- 
rinnen und Bürger einsetzen. 


Zum 40jährigen 
Bestehen der DVD 


moderne Datenschutz Antworten finden 
und durchsetzen — eine Herkulesaufga- 
be, auch für die DVD. 

Nicht zuletzt hat der Datenschutz auch 
eine politische Dimension: Er schützt 
Individuen gegen Übermacht und Will- 
kür des Staates und von staatlichen und 
privaten Organisationen. Nicht umsonst 
sind beispielsweise Wahlen in unserer 
demokratisch verfassten Gesellschaft 
geheim. „Wissen ist Macht“ — und die 
umfassend über uns gesammelten Da- 
ten sind die Grundlage dieses Wissens. 

Die DVD hat den Datenschutzdis- 
kurs seit ihrer Gründung 1977 begleitet. 
Meilensteine des Datenschutzes fallen 
in die vergangenen 40 Jahre. Das erste 
deutsche Datenschutzgesetz 1977, das 
vom Bundesverfassungsgericht festge- 
stellte Recht auf informationelle Selbst- 
bestimmung 1983, das Grundrecht auf 
Gewährleistung der Vertraulichkeit und 
Integrität informationstechnischer Sys- 
teme 2008 und die wiederholten höchst- 
richterlichen Urteile des Bundesverfas- 
sungsgerichts und des Europäischen 
Gerichtshofs gegen die Vorratdatenspei- 
cherung — deren Konsequenzen von den 
politisch Verantwortlichen leider immer 
wieder vom Tisch gewischt werden 
— sind die symbolträchtigsten davon. 
Durch ihr unermüdliches Vorantreiben 
des Datenschutzes, durch Führen des 
Diskurses, durch berufliches Handeln 
und durch rechtliche Initiativen haben 
die DVD und ihre Mitglieder einen ent- 
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scheidenden Beitrag dazu geleistet. 

Das FIfF — Forum InformatikerIn- 
nen für Frieden und gesellschaftliche 
Verantwortung -, als kritischer Berufs- 
verband der Informatik, der 1984, also 
sieben Jahre später, gegründet wurde, 
versteht sich dabei als ein Partner der 
DVD. Unsere Ursprünge liegen in der 
Friedensbewegung der 1980er Jahre; 
unsere Arbeitsschwerpunkte sind breit 
gefächert und erstrecken sich über alle 
Themen, die die gesellschaftlichen Aus- 
wirkungen und verantwortliches Han- 
deln in der Informatik berühren. 

Der Datenschutz ist nach unserem 
Verständnis für dieses verantwortliche 
Handeln in der Informatik zentral. Da- 
tenschutz ist Menschenschutz; er ist die 
Voraussetzung für die verfassungsrecht- 
lich garantierte Menschenwürde und 
die freie Entfaltung der Persönlichkeit. 
„Wer nicht mit hinreichender Sicherheit 
überschauen kann, welche ihn betref- 
‚fende Informationen in bestimmten Be- 
reichen seiner sozialen Umwelt bekannt 
sind, und wer das Wissen möglicher 
Kommunikationspartner nicht einiger- 
maßen abzuschätzen vermag, kann in 
seiner Freiheit wesentlich gehemmt 
werden, aus eigener Selbstbestimmung 


Douwe Korff * 


AOTH BIRTHDAY 


When the Deutsche Vereinigung für 
Datenschutz e. V. (DVD) was founded in 
1977, and when the now famous Daten- 
schutz Nachrichten were first published 
the next year, I was not yet really invol- 
ved with data protection, but Amnesty 
International researcher for the then two 
Germanies (and the UK and Ireland) and 
“Head of Europe” at Al’s International 
Secretariat — and Amnesty’s mandate 
was limited and did not yet, as such, in- 
clude privacy or surveillance. 

However, as the person responsib- 
le for following human rights-related 
events in the Federal Republic of Ger- 
many generally, I quickly came into 
contact with lawyers and activists who 
not only fought against the draconian 
“anti-terror” laws then being introduced, 
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zu planen oder zu entscheiden‘, führte 
das Bundesverfassungsgericht in seinem 
bahnbrechenden Volkszählungsurteil 
(BVerfGE 65, 1) 1983 aus und bestätigte 
damit die Bedeutung des Datenschutzes 
als deren unabdingbare Voraussetzung. 
Damit ist der Datenschutz auch für 
das FIfF eins seiner wichtigsten Schwer- 
punktthemen, und so gab und gibt es im- 
mer wieder Gelegenheiten, gemeinsam 
für unsere Ziele zu arbeiten. Vor zehn 
Jahren trafen wir uns in Bielefeld, wo wir 
an einem Wochenende erfolgreiche Ta- 
gungen der DVD, des FIfF und die Big- 
BrotherAwards erlebten und Bielefeld 
zur Hauptstadt des Datenschutzes mach- 
ten. (Nebenbei: Dieses Zusammentreffen 
war für mich persönlich die Gelegenheit, 
auch Mitglied der DVD zu werden.) Drei 
Jahre später trafen wir uns in Köln zur 
gemeinsamen Jahrestagung. Ungezählt 
sind die Erklärungen und Forderungspa- 
piere, die wir gemeinsam erarbeitet oder 
unterzeichnet haben. Wir teilen die Sorge 
über die zunehmende Überwachung aller 
Aspekte des Lebens durch staatliche Be- 
hörden und durch Wirtschaftsunterneh- 
men, uns eint das gemeinsame Ziel, auch 
künftig einen effektiven Datenschutz si- 
cherzustellen - juristisch wie technisch. 


Die aktuellen Entwicklungen lassen 
nicht erwarten, dass uns die Arbeit in 
absehbarer Zeit ausgehen wird. Es gilt, 
ein effektives Datenschutzrecht und 
einen wirksamen technischen Daten- 
schutz auch im Zeitalter von Big Data 
fortzuentwickeln und dem Datenhunger 
von Wirtschaftsunternehmen und ihren 
datenorientierten Geschäftsmodellen 
ebenso wie einer Sicherheitspolitik, die 
längst jedes Maß verloren hat, unsere 
alternativen Modelle entgegenzustel- 
len. Das FIfF freut sich darauf, für diese 
Ziele weiterhin in einer starken Partner- 
schaft an der Seite der DVD zu arbeiten 
und zu streiten. 

Auch 40 Jahre DVD sind noch bei 
weitem nicht genug! Das Forum Infor- 
matikerInnen für Frieden und gesell- 
schaftliche Verantwortung gratuliert der 
Deutschen Vereinigung für Datenschutz 
zum 40jährigen Bestehen und wünscht 
ihr auch in Zukunft Engagement, Zi- 
vilcourage, Durchhaltevermögen, po- 
litische Kraft und vor allem: Erfolg für 
ihre Initiativen. Ein starker Datenschutz 
und eine starke DVD ist in unser aller 
Interesse. 

Stefan Hügel 

Vorsitzender des FIfF 


WISHES FOR DVD & DANA 


but who also (rightly) saw data protec- 
tion as a crucial new battlefield in that 
context — notably the sadly-missed Se- 
bastian Cobler. 

Over the next years, Sebastian and I 
had great discussions about the anti- 
liberal developments in the FRG at 
the time (plus ga change ...), over Ap- 
felwein and Handkäse (mit Musik!) in 
Sachsenhausen. He had deep insights in 
the insidious ways in which seemingly 
minor changes to the criminal law, and 
court interpretations stretching on-their- 
face-innocuous rules, could corrupt the 
Rule of Law and German (now also Eu- 
ropean) constitutional principles — all 
illustrated with detailed references to 
how bad laws and bad legal approaches 
from the Weimar Era were taken up and 


further abused by the National Socia- 
lists — and then again picked up in the 
anti-communist campaigns in the ‘50s 
and ‘60s, and used for repressive actions 
against non-violent activists, and even 
academic observers of events, in tho- 
se late-‘70s/early ‘80s. Remember the 
outrageous prosecutions of respectable 
academics for re-publishing the Buback 
Nachruf. 

The then newly-emerging idea of 
“data protection” (Datenschutz) as a 
fundamental right in Germany must be 
seen in that context. Politically active 
citizens objected to the census that was 
to be held in 1983, because they saw it 
as atool to support the already excessive 
surveillance of activists and the clamp- 
down on any expressions that the autho- 
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rities saw as being even remotely “sym- 
pathetic” to or “supportive” of political 
ideas and ideologies that were also in- 
voked by the RAF. Sebastian Cobler 
was one ofthe lawyers acting in the case 
before the Constitutional Court, leading 
to the famous Volkszählungsurteil (Cen- 
sus judgment) of 15 December 1983. 

By then, I had left Amnesty but was 
continuing to work for them as an aca- 
demic, first at the Max Planck Institute 
for Criminal Law in Freiburg i.Br., and 
then briefly at the MPI for public law 
in Heidelberg. Although I focused on 
writing briefings for AI on international 
standards in criminal procedure, and on 
the “Diplock Courts” in Northern Ire- 
land, and went to observe some trials for 
them (the Sybille Haag trial in Stuttgart- 
Stammheim, but also a trial in East Ber- 
lin), it was also at this time (in the early 
1980s) that I was asked to advise Al on 
data protection: its collecting, analysing, 
sharing and publishing of often high- 
ly sensitive, and not always confirmed, 
personal data on political prisoners and 
victims of torture or extra-judicial kil- 
lings, world-wide, was (and is) difficult 
to fit in with data protection rules that 
were not written with organisations such 
as Al in mind. 

That is how I became involved in data 
protection in the early 1980s — and got to 
know all the great early data protection 
campaigners: apart from Sebastian Cob- 
ler, who I already knew from my work 
on criminal law, there was Professor 
Spiros Simitis in Frankfurt, the world’s 
first data protection commissioner and 
a great data protection advocate (not 
only in the Hessen Parliament to which 
he formally reported, but also in the 
rest of Germany, and Europe). Also my 
countryman, Frits Hondius, who almost 
single-handedly wrote the 1981 Council 
of Europe Data Protection Convention, 
and Louis Joinet, the first President of 
the French data protection authority, the 
CNIL, who drafted the UN data protec- 
tion guidelines and was looking into the 
Al issues. 

In the data protection developments 
and battles that followed those early 
days — from the drafting of the 1995 
EC Data Protection Directive and the 
2001 e-Privacy Directive to the 2016 
EU General Data Protection Regulation 
and the proposal for an e-Privacy Regu- 
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lation — German law remained a major 
source of inspiration for the European 
data protection rules — partly because, 
as a result of the Solange decisions of 
the Karlsruhe court, the adoption of EU 
data protection rules that fell short of 
the German constitutional requirements 
would have re-opened the old debate 
about the supremacy of EU law. Strong 
data protection rules in Germany, and 
strong Judgments in this field issued by 
the German Constitutional Court, are 
therefore crucial means to advance also 
the European standards in this area. The 
recent strong judgments ofthe CJEU on 
data protection-related matters clearly 
drew on the German case-law (and the 
Court was of course fully aware of the 
Solange implications). 

But both in Germany and in Europe, 
there have also been attempts to weaken 
data protection. It is partly because of 
the concerted efforts of some principled 
German officials, in particular data pro- 
tection authorities such as Thilo Wei- 
chert and Peter Schaar (both of course 
closely associated with DVD), and Eu- 
ropean civil servants (let me mention 
Ulf Brühann, Marie Georges and Sophie 
Kwasny, but above all the great Gio- 
vanni Buttarelli), human rights officials 
such as the Council of Europe Human 
Rights Commissioner, Nils MuiZnieks, 
and his predecessor, Thomas Hammer- 
berg, and parliamentarians committed to 
human rights and data protection such as 
Jan Albrecht and Sophie in ‘t Veld, that 
those efforts have been thwarted. How- 
ever, they would all gladly acknowledge 
that in this they absolutely needed the 
backing of civil society and campaig- 
ning organisations with a sound repu- 
tation for critical but informed analysis. 

In Europe, there is European Digital 
Rights (EDRi), led by the indefatigable 
Joe McNamee, and its many members 
and observers in many EU Member Sta- 
tes (which include DVD). They have 
gained significant influence on the deve- 
lopment of EU and Council of Europe 
data protection law. 

In Germany, under Thilo Weichert’s, 
Karin Schuler‘s, Sönke Hilbrans‘ and 
Frank Spaeing’s leadership, and because 
ofthe major work by its members, DVD 
was and remains preeminent in this role 
(although there are now of course also 
other great organisations active on data 


protection and wider “digital” issues). I 
am honoured to have occasionally been 
asked to present my views on EU- and 
comparative-legal developments to 
DVD-organised fora, and in DANA. 
The reason I dwelt somewhat on the 
wider context to my early recollections 
at the beginning of this note, is that I 
feel the clock has gone full circle: data 
protection, at some time seen as a rather 
niche interest at the margins of the wi- 
der human rights panorama, has again 
become closely and inextricably linked 
to the main human rights issues of to- 
day. As political activism, -organisation, 
-association and -speech have gone on- 
line, so have policing of such activities 
and mass surveillance. While few would 
argue against the need to counter hate 
speech and expressions of support for 
terrorism, also in the digital environ- 
ment, once again the question is where 
and how to draw the line between this 
and respecting free speech and politi- 
cal action, and the extent to which state 
authorities should be allowed to interfe- 
re with those rights. But to the serious 
problems raised by this question in any 
one state, are now added the complexi- 
ties of “cyberspace” not respecting state 
boundaries, and different states — inclu- 
ding states that do not respect the rule 
of law; that oppress, torture and kill ar- 
bitrarily — acting and competing in that 
space; and of much of that space being 
under the control of private entities, in- 
cluding the US “Internet Giants”. 
Moreover, in “cyberspace” eve- 
rything turns on data. Compulsory e- 
communications-, travel (PNR)-, finan- 
cial and other data collection, -sharing 
and -retention; mass interception of 
communications, also extraterritorially; 
in-depth analyses of metadata, search 
queries, social- and communication 
networks; and the consequent “profi- 
ling” based on algorithms (including 
“dynamic”, “self-learning” algorithms) 
— they are at the core of contemporary 
law enforcement and national security/ 
intelligence activities (which are mo- 
reover increasingly blurred, adding yet 
further complexity). And they are all 
about personal data (or results of ana- 
lyses of supposedly non-personal data, 
but that are then used in relation to sin- 
gled-out individuals). Decisions to im- 
pose travel bans, exclusions from jobs, 
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arrests and interrogation, and even be- 
coming the target of killing drones - all 
are increasingly based directly or indi- 
rectly on such processing. Data protec- 
tion is now at the centre of all major 
global human rights issues. 

In the 1970s, DVD recognised this 
link, and was amongst the first in Euro- 
pe to make it the focus of its civil so- 
ciety activities. It sustained this focus 
through the next decades. While there 
are now, fortunately, many other orga- 
nisations, in Germany, Europe, the USA 
and globally, the work of the DVD re- 
mains crucial. It has provided through 
the years, and is still providing all the 
time (in particular through DANA), se- 
rious, in-depth, highest-quality analysis 
and criticism, with constructive enga- 


Vierzig Jahre Deutsche Vereinigung 
für Datenschutz e.V. — Da denkt man 
unwillkürlich „Gab es Datenschutz da 
eigentlich schon?“ Nun gut, jetzt wer- 
den ältere Vereinsmitglieder sicher da- 
rauf hinweisen, dass ja beispielswei- 
se das Hessische Datenschutzgesetz 
schon 1970 in Kraft trat. Aber das Da- 
tenschutz wichtig war, das war 1977 
doch nun wirklich nur ein paar wenigen 
Fachleuten klar. Und die Notwendig- 
keit eines „Rechts auf informationelle 
Selbstbestimmung“, die hat auch kaum 
jemanden verstanden. Das lag ja aber 
vielleicht auch daran, dass nur wenige 
Menschen wussten, was Datenverar- 
beitung eigentlich tatsächlich ist und 
was sie kann. 1977 war nämlich auch 
das Jahr, in dem Ken Olsen, Gründer 
des einstmals mächtigen Computerkon- 
zerns Digital Equipment (DEC) und 
„IT-Fachmann“, öffentlichkeitswirksam 
darlegte, dass niemand einen Computer 
zu Hause braucht. Den PET 2001 Perso- 
nal Computer, den die Firma Commo- 
dore damals auf den Markt brachte, hielt 
Olsen sicher für einen Fehler. 
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gement at the highest level. Trusted by 
law- and policy-makers and regulators, 
including the many German and other 
data protection authorities, it has never 
compromised on principles. It remains a 
much-needed voice — and I am sure will 
continue to make vital contributions to 
the debates on the various areas of con- 
cern I mentioned above. 

I wish DVD a Happy 40th Birthday 
and a successful future! I feel privileged 
to have been involved with the organi- 
sation and with so many of its excellent 
members and leaders. In memory of Se- 
bastian Cobler, I raise a glass of Apfel- 
wein to you! 

-0-0-0- 

Douwe Korff 

Cambridge, September 2017 
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* Douwe Korff is Emeritus Professor of In- 
ternational Law at London Metropolitan 
University; Associate ofthe Oxford Mar- 
tin School, University of Oxford; Visiting 
Fellow at Yale University (Information 
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ropean University of Viadrina, Frankfurt/O 
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I summarised the situation in a Note I wro- 
te for Amnesty International, Aspects of 
the law regarding freedom of expression in 
the Federal Republic of Germany (1983), 
later used (with my trial observation report 
on the case against Sybille Haag et al.) in 
the AI publication Prosecution for the exer- 
cise of the right to freedom of expression 
in the Federal Republic of Germany, Al 
Document EUR 23/02/85, London, 1985. 
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‚QJ Grußwort für vierzig Jahre 


Deutsche Vereinigung für 
Datenschutz e.V. 


Nun gut, Olsen hat sich getäuscht, 
DEC ist schon seit lange vom Markt 
verschwunden, wir sind von Datenver- 
arbeitungen und Datensammlungen im 
beruflichen wie im privaten Bereich 
umzingelt und der Datenschutz wird 
gerade neue erfunden. Und da kommt 
nun wieder die Deutsche Vereinigung 
für Datenschutz e.V. ins Spiel. Das sie 
vor vierzig Jahren gegründet wurde, 
das war visionär. Aus heutiger Sicht 
ist es erfreulich, dass da nun eine an- 
erkannte Institution existiert. Ihre Mit- 
glieder haben vielfältige Erfahrungen 
zu den Risiken, die Datenverarbeitung 
für Bürgerinnen und Bürger mit sich 
bringen kann und wissen, wie diese 
ausgeschlossen oder minimiert werden 
können. Mit diesem Wissen macht die 
Deutsche Vereinigung für Datenschutz 
zu ihrem „Vierzigsten“ allen Bürge- 
rinnen und Bürgern ein wichtiges Ge- 
schenk. Dafür vielen Dank! 

Was wünscht man einer solchen In- 
stitution für die Zukunft? Dass es hier 
für Deutsche Vereinigung für Daten- 
schutz viel Arbeit geben wird, liegt auf 


der Hand. In einer immer umfassender 
vernetzten und digital durchdrungenen 
Welt Datenschutz im Sinne der Nutzer 
sicherzustellen, dass wird anstrengend 
für die Menschen, die diese Vereini- 
gung tragen und gestalten. Aber es 
lohnt sich weiterhin. In diesem Sinn 
wünsche ich Ihnen und Euch weiter- 
hin die Energie, die es braucht, um die 
Vorteile der elektronische Datenverar- 
beitung für alle nutzbar zu machen und 
zugleich die Rechte von Bürgerinnen 
und Bürgern zu wahren. Alles Gute, 
Deutsche Vereinigung für Datenschutz. 


Prof. Dr. Peter Wedde 


Professor für Arbeitsrecht und Recht 
der Informationsgesellschaft im FB 2 
Informatik und Ingenieurwissenschaften 
an der Frankfurt University of Applied 
Sciences und wissenschaftlicher Leiter 
des Instituts für Datenschutz, Arbeits- 
recht und Technologieberatung in Epp- 
stein / Taunus. 
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Bernd Schütze 


Controlling der IT-Sicherheit unter Berücksichtigung 
von Art. 32 Datenschutz-Grundverordnung 


Art. 32 Datenschutz-Grundverord- 
nung (DS-GVO) schreibt vor, dass so- 
wohl der für die Verarbeitung Verant- 
wortliche als auch — sofern vorhanden 
— der Auftragsverarbeiter unter Berück- 
sichtigung 
- des Stands der Technik, 
der Implementierungskosten, 

- der Art, des Umfangs, der Umstände 
und der Zwecke der Verarbeitung sowie 

- der unterschiedlichen Eintrittswahr- 
scheinlichkeit und Schwere des Risi- 
kos für die persönlichen Rechte und 
Freiheiten 

geeignete technische und organisatori- 
sche Maßnahmen treffen müssen, um 
ein dem Risiko angemessenes Schutzni- 
veau zu gewährleisten. Zugleich resul- 
tiert aus Art. 5 DS-GVO eine Nachweis- 
pflicht. Damit lässt sich festhalten: 

1. Der Schutz der Daten ist nicht absolut. 
Es muss aus datenschutzrechtlichen 
Gründen nicht zwingend das höchst- 
mögliche Schutzniveau umgesetzt 
werden, sondern ein unter Berück- 
sichtigung der oben genannten Punkte 
angemessenes Niveau. 

2.Es existiert bzgl. der Angemessenheit 
eine Nachweispflicht. 


Was ist „Stand der Technik“? 


In der DS-GVO existiert keine Legal- 
definition bzgl. „Stand der Technik“. in 
der Begründung zum IT-Sicherheitsge- 
setz! heißt es: 

„Stand der Technik in diesem Sinne ist 
der Entwicklungsstand fortschrittlicher 
Verfahren, Einrichtungen oder Betriebs- 
weisen, der die praktische Eignung einer 
Maßnahme zum Schutz der Funktions- 
fähigkeit von informationstechnischen 
Systemen, Komponenten oder Prozessen 
gegen Beeinträchtigungen der Verfüg- 
barkeit, Integrität, Authentizität und Ver- 
traulichkeit gesichert erscheinen lässt. 
Bei der Bestimmung des Standes der 
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Technik sind insbesondere einschlägige 
internationale, europäische und nationa- 
le Normen und Standards heranzuziehen, 
aber auch vergleichbare Verfahren, Ein- 
richtungen und Betriebsweisen, die mit 
Erfolg in der Praxis erprobt wurden.“ 


Aus europäischer Sicht bietet am 
ehesten der Terminus „beste verfügbare 
Technik“ entsprechend Art. 3 Ziff. 10 
Industrieemissions-Richtlinie? eine De- 
finition bzgl. „Stand der Technik“. Hier 
findet sich als Definition 

„beste verfügbare Techniken“ den 
effizientesten und fortschrittlichsten 
Entwicklungsstand der Tätigkeiten und 
entsprechenden Betriebsmethoden, der 
bestimmte Techniken als praktisch ge- 
eignet erscheinen lässt, [...] oder, wenn 
dies nicht möglich ist, zu vermindern: 
a) „Techniken“: sowohl die angewandte 

Technologie als auch die Art und Wei- 
se, wie die Anlage geplant, gebaut, ge- 
wartet, betrieben und stillgelegt wird; 
b) „verfügbare Techniken“: die Techni- 
ken, die in einem Maßstab entwickelt 
sind, der unter Berücksichtigung des 
Kosten/Nutzen-Verhältnisses die An- 
wendung unter in dem betreffenden 
industriellen Sektor wirtschaftlich und 
technisch vertretbaren Verhältnissen er- 
möglicht, gleich, ob diese Techniken in- 
nerhalb des betreffenden Mitgliedstaats 
verwendet oder hergestellt werden, so- 
fern sie zu vertretbaren Bedingungen 

‚für den Betreiber zugänglich sind; 

c) „beste“: die Techniken, die am wirk- 
samsten zur Erreichung eines allge- 
mein hohen Schutzniveaus [...] sind“. 


“ 


Übertragen auf die IT-Sicherheit folgt 
daraus: unter Berücksichtigung des 
Kosten/Nutzen-Verhältnisses muss die 
Technik eingesetzt werden, welche für 
den jeweiligen Bereich als Standard an- 
gesehen wird und dabei das höchstmög- 
liche Schutzniveau gewährt. Wikipedia 


beschreibt den Begriff „Standard“ wie 
folgt: „Ein Standard ist eine vergleichs- 
weise einheitliche oder vereinheitlichte, 
weithin anerkannte und meist angewand- 
te (oder zumindest angestrebte) Art und 
Weise, etwas herzustellen oder durchzu- 
führen, die sich gegenüber anderen Arten 
und Weisen durchgesetzt hat.“ 


Stand der Technik und Normen 


Normen und Richtlinien sind in erster 
Linie Empfehlungen privater Vereine, z.B. 
die vom Deutschen Instituts für Normung 
(DIN) herausgegebenen Normen. Die Ver- 
bindlichkeit einer Norm regelt sich durch 
die Vereinbarung der beteiligten Parteien, 
für welche die Norm(en) Leistungsgrund- 
lage sein soll. Somit stellen Normen nicht 
zwangsläufig eine Regel oder Stand der 
Technik dar. Vielmehr ist eine Norm dann 
anerkannt, wenn Fachleute diese anwen- 
den und sich dabei sicher sind, dass sie 
dem Stand der Technik entspricht. Dies 
beinhaltet, dass die Norm „gepflegt“ wird, 
d.h. regelmäßig aktuell gehalten wird. 

Ist die Anwendung von bestimmten 
Normen in einer Rechtsvorschrift vor- 
geschrieben, so ist deren Einhaltung 
selbstverständlich auch verpflichtend, 
auch wenn diese ggf. nicht mehr dem 
Stand der Technik entsprechen. 


Nachweis „angemessene Maßnahmen“ 


Bei der Auswahl der Maßnahmen sind 
die „Implementierungskosten“ zu be- 
rücksichtigen. Dies bedingt eine betriebs- 
wirtschaftliche Bewertung von Maßnah- 
men der Informationssicherheit. Hierzu 
ist einerseits die vollständige Erfassung 
und adäquate Quantifizierung der beste- 
henden Risiken erforderlich, andererseits 
müssen die Kosten und Wirksamkeit 
von Schutzmaßnahmen dargestellt wer- 
den. Schwierig hieran ist, dass gerade 
im Bereich der IT-Sicherheit häufig eine 
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hinreichend präzise Quantifizierung der 
Risiken nicht möglich ist; hier muss eine 
bestmögliche Näherung erzielt werden. 


Identifizierung der Risiken 


In der DS-GVO geht es darum, den 
Rechten und berechtigten Interessen der 
betroffenen Personen und sonstiger von 
der Verarbeitung betroffener Menschen 
Rechnung zu tragen. Entsprechend ad- 
ressiert Art. 32 DS-GVO mit seinen 
Anforderungen die Risiken für die be- 
troffenen Personen, Risiken für das da- 
tenverarbeitende Unternehmen sind nur 
relevant, wenn diese zugleich auch Risi- 
ken für die von der Verarbeitung betrof- 
fenen Personen darstellen. 

Eine Kategorisierung der Risiken für 
die Rechte und berechtigten Interessen 
betroffener Personen bei einer Verarbei- 
tung personenbezogener Daten können 
z.B. sein: 

Strukturelle Risiken, beispielswei- 
se gesellschaftlich-politische Risiken 
(wie z. B. die Informationsmacht, die 
gegenüber einem Individuum gewon- 
nen wird) oder wirtschaftliche Risiken 
Individuelle Risiken, wie z. B. die Er- 
höhung individueller Verletzlichkeit 
für Straftaten, da jemand erfährt, wo 
betroffene Personen angreifbar sind 
Risiken für Gesellschaft und Individu- 
um, z.B. durch Bildung von Persön- 
lichkeitsprofilen oder Fremdbestim- 
mung oder auch die Enttäuschung von 
Vertraulichkeitserwartungen. 


Die Risiken für die betroffenen Perso- 
nen können aus Sicht der IT-Sicherheit 
i. d. R. auf drei Fälle eingegrenzt wer- 
den: 

1. Unbefugte erhalten Zugriff auf die In- 
formationen 

2.Informationen erfahren eine uner- 
wünschte Änderung 

2.1. Dies geschieht ungewollt durch 

einen Anwender, dem entspre- 
chend Rechte zugewiesen wurde 
(z. B. Fehlbedienung oder Un- 
achtsamkeit) 

2.2.Dies geschieht durch einen An- 

greifer, der sich entsprechende 
Rechte verschaffte 
3. Informationen werden vernichtet. 
3.1.Dies geschieht ungewollt durch 
einen Anwender, dem entspre- 
chend Rechte zugewiesen wurden 
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(z. B. Fehlbedienung oder Un- 
achtsamkeit) 

3.2. Dies geschieht durch einen An- 
greifer, der sich entsprechende 
Rechte verschaffte 


Quantifizierung der Risiken 


Eine Quantifizierung erkannter Ri- 
siken kann u. a. durch die nachfolgend 
vorgestellten vier Ansätze erfolgen: 
1.Experten-Befragung: Mit Hilfe von 

meist strukturierten Fragebögen wird 

versucht, IT-Sicherheitsrisiken zu 
identifizieren und zu quantifizieren. 
2.Indikator-Ansatz: Anhand bestimmter 

Kennzahlen bzw. eines Kennzahlen- 

systems werden vorliegende IT-Si- 

cherheitsrisiko indirekt ermittelt. 
3.Stochastische Methoden: Basierend 
auf historischen Schadensdaten bzgl. 
der Häufigkeit und Schwere von ein- 
getretenen Schäden werden statistische 

Verteilungsfunktionen zur Simulation 

genutzt, um so das Eintreten künftiger 

IT-Sicherheitsrisiken abzuschätzen. 
4.Kausal-Methoden: Zwischen den 

identifizierten Risikoquellen bzw. 

-treibern und den daraus resultieren- 

den Schäden werden mittels statis- 

tischer Methoden Zusammenhänge 
dargestellt. 


Betriebswirtschaftliche Betrachtung 


Für diese betriebswirtschaftliche Ab- 
wägung und Maßnahmenbewertung 
wird in der Praxis häufig der Return on 
Security Investment (RoSI) als Kenn- 
zahl eingesetzt. Die Rentabilität einer 
IT-Sicherheitsmaßnahme wird anhand 
eines Vergleichs des gesenkten IT-Si- 
cherheitsrisikos durch die Implementie- 
rung einer IT-Sicherheitsmaßnahme mit 
den Kosten für die Maßnahme ermittelt. 

Hierzu ist es zunächst erforderlich den 
zu erwartenden jährlichen Verlust (An- 


nual Loss Expectancy, ALE) zu bestim- 
men. Der ALE errechnet sich aus der 
finanziellen Höhe (Loss, L) und der Ein- 
trittswahrscheinlichkeit (Probability, P) 
eines potentiellen Schadens: ALE = LP. 

Der zu erwartende Gesamtverlust 
ist dann die Summe der Erwartungs- 
werte aller betrachteten Einzelrisiken: 
AlEror = Lizı L,"Pı. 

Die Reduktion eines betriebswirt- 
schaftlichen Risikos kann einerseits 
durch eine Verringerung der Eintritts- 
wahrscheinlichkeit erfolgen, anderer- 
seits durch eine Begrenzung der Auswir- 
kungen des Schadens. Für das „klassi- 
sche“ Controlling der IT-Sicherheit steht 
beides gleichberechtigt nebeneinander. 
Art. 32 DS-GVO verlangt jedoch eine 
Begrenzung des Risikos für die betrof- 
fene Person. D.h. wenn durch Maßnah- 
men das finanzielle Risiko z.B. durch 
verhängte Bußgelder reduziert wird, 
das Risiko für die betroffene Person 
unverändert ist, so ist dies keine risiko- 
reduzierende Maßnahme aus Sicht des 
Art. 32 DS-GVO. (Gleichwohl kann die 
Ergreifung der Maßnahme aus Sicht des 
die Daten verarbeitenden Unternehmens 
natürlich wünschenswert sein.) 

Leider existieren für die wenigsten 
Schäden im Bereich der IT belastbaren 
Erfahrungswerte, so dass die Berech- 
nung des ALE-Wertes nur als Schätzung 
erfolgen kann. Berücksichtigt werden 
müssen bei der Kalkulation eines zu er- 
wartenden Verlustes insbesondere 
- Umsatzeinbußen, z.B. durch Ausfall 
eines Shopsystems 
Produktivitätskosten, wenn beispiels- 
weise durch den Ausfall Produkte nicht 
weiterentwickelt werden können 
- Wertverlust, z.B. durch Imageschaden 
Wiederherstellungskosten 
- Schadensersatzleistungen, z.B. gegen- 

über betroffenen Personen 
- Sanktionsmaßnahmen, wie z.B. von 

Aufsichtsbehörden verhängte Bußgelder. 


Kostenart Kosten 

Wiederherstellungskosten: 

( externer Berater (4 Stunden, Stundensatz 250 Euro) 1.000,00 € 
Umsatzeinbußen 

( 0,5 Aufträge /Stunde Ausfall (pro Auftrag ” 5.600 Euro) 11.200,00 € 
Produktivitätskosten: 

( 12 Beschäftigte im Marketing (Ausfall 4 Stunden, 892,80 € 

Stundenlohn 18,60 Euro) 

( Fax statt Mailbestätigung für eingegangene Aufträge 2,50 € 

(25 x, Kosten je Fax 0,10 Euro) 

Kosten einmaliger Ausfall: 13.095,30 € 
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Auch die Kosten für die Implementie- 
rung einer Schutzmaßnahme setzen sich 
aus unterschiedlichen Kostenblöcken 
zusammen: 

- Konzeptionskosten, z.B. Entwicklung 
bzw. Auswahl der Lösung, Testbe- 
trieb, Anpassungen an die eigene In- 
frastruktur 

- Investitionskosten, wie beispielsweise 
anzuschaffende Hardware, Software, 
Schulungskosten, Installation/Konfi- 
guration 

- Betriebskosten, Kosten für Support. 
Lizenzkosten, usw. 


Aus diesen drei Kostenblöcken wer- 
den die Gesamtkosten der Sicherheits- 
maßnahmen (Total Cost of Ownership, 
TCO) berechnet. Hierbei ist zu beach- 
ten, dass Einmalkosten über den Be- 
triebszeitraum abgeschrieben werden: 


Konzeptionskosten+/awestitionskoste 
To ’ 


c0 = — + Betriebskosten. 


Der Return on Security Invest- 
ment (RoSI) berechnet sich jetzt 
dadurch, dass der ALE-Wert vor 


und nach Einführung der IT-Sicher- 
heitsmaßnahmen betrachtet wird: 
RoSI = Au Diem 2, Oder in Worte 
gefasst: die erwartete Ersparnis beim 
ALE-Wert (AlEaı = AlEyeu) muss 
über den Anschaffungs- und Betriebs- 
kosten liegen, dann ist die Maßnahme 
aus betriebswirtschaftlicher Sicht sinn- 
voll. 


Riko Pieper 


Diskussion 


Im Berechnungsansatz wird verein- 
fachend davon ausgegangen, dass ein 
Risiko von einer Sicherheitsmaßnah- 
me adressiert wird. In der Praxis ad- 
ressiert eine Maßnahme häufig mehr 
als ein Sicherheitsrisiko, z.B. soll eine 
Firewall Denial-of-Service-Attacken 
ebenso verhindern wie das Eindringen 
Unbefugter in das eigene Rechnernetz. 
Andererseits können Maßnahmen auch 
neue Risiken in sich bergen, z.B. muss 
zur Fernwartung Dritten Zugriff auf 
das eigene Rechnernetz gewährt wer- 
den, was grundsätzlich einen potentiel- 
len Missbrauch des Zugangs beinhaltet 
(z.B. durch einen Zugriff Unbefugter 
auf das Netz der fernwartenden Partei) 
und somit immer auch eine Sicher- 
heitslücke darstellt. Weiterhin wird da- 
von ausgegangen, dass eine Schadens- 
wiederholung einen gleichbleibenden 
Schaden verursacht. Jedoch wird ein 
einmaliger Sicherheitsvorfall in einer 
Bank oder einem Krankenhaus durch 
die Öffentlichkeit anders bewertet, als 
wenn einmal pro Monat ein entspre- 
chender Vorfall passiert, was wieder- 
um in einem gesteigerten Imageverlust 
resultiert. Ferner besteht der „Gewinn“ 
in der Betrachtung in einer Verminde- 
rung eines operationellen Risikos, also 
eines Erwartungswertes für die Kosten 
von Sicherheitsvorfällen; ob dadurch 


tatsächlich Einsparungen erzielt wor- 
den sind, lässt sich selbst nachträglich 
nach Eintritt eines Schadensfalls selten 
feststellen. 

D.h. die Abschätzung wird sicherlich 
nicht die Wirklichkeit widerspiegeln, je- 
doch kann RoSI die Tendenz recht gut 
darstellen. Daher erscheint RoSI gut ge- 
eignet, um für Dritte wie z.B. Aufsichts- 
behörden nachvollziehbar darlegen zu 
können, warum Investitionskosten für 
IT-Sicherheitsmaßnahmen für ein Un- 
ternehmen tragbar sind oder nicht. 


1 Gesetzentwurf der Bundesregierung Ent- 
wurf eines Gesetzes zur Erhöhung der 
Sicherheit informationstechnischer Sy- 
steme (IT-Sicherheitsgesetz). S. 14, 15. 
Online, zitiert am 2017-08-31; Verfüg- 
bar unter https://dip21.bundestag.de/ 


2 Richtlinie 2010/75/EU des Europäischen 
Parlaments und des Rates vom 24. No- 
vember 2010 über Industrieemissionen 
(integrierte Vermeidung und Vermin- 
derung der Umweltverschmutzung). 
Online, zitiert am 2017-08-31; Verfügbar 
unter http://eur-lex.europa.ew/legal- 
content/DE/ALL/?uri=CELEX: 
3201010075 


3 Wikipedia „Standard“. Online, zitiert am 
2017-08-31; Verfügbar unter 
https://de.wikipedia.org/wiki/Standard 


4 Stefan Drackert (2014) Die Risiken der 
Verarbeitung personenbezogener Daten 
- Eine Untersuchung zu den Grundlagen 
des Datenschutzrechts. Duncker & Hum- 
blot GmbH. ISBN ‚978-3-428-1 4730-4 


Kuriositäten in der [Datenschutz-]Gesetzgebung 


Einleitung 


„Datenschutzbeauftragter“ (DSB) ist 
keine Berufsausbildung, sondern etwas, 
wozu man „benannt‘“' wird. In der Pra- 
xis haben Datenschutzbeauftragte vor 
der Datenschutzausbildung daher meis- 
tens ein Studium abgeschlossen, das we- 
nigstens einen Teil der Aufgaben eines 
DSB abdeckt. Die Aufgaben eines DSB? 
bestehen einerseits darin, die jeweiligen 
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Mitarbeiter und die oberste Leitung des 
Unternehmens in datenschutzrechtli- 
chen Fragen zu beraten, andererseits 
in Überprüfungen der Prozesse und IT- 
Systeme des Unternehmens auf Kon- 
formität in Bezug auf die datenschutz- 
rechtlichen Vorgaben. Daher ist es nicht 
verwunderlich, dass Datenschützer oft 
entweder Juristen oder Informatiker sind 
oder ein diesen beiden Disziplinen ver- 
wandtes Studium abgeschlossen haben, 


denn der Datenschutz verbindet beides. 

In diesem Artikel werden einige Tü- 
cken in der Gesetzgebung beschrieben, 
die der Autor in seiner Rolle als Daten- 
schützer? und Informatiker gefunden und 
mit anderen Datenschützern* diskutiert 
hat. Die Ergebnisse waren ernüchternd. 
Teilweise handelt es sich um offensicht- 
liche „Fehler“ im Gesetz, die allgemein 
bekannt zu sein scheinen und trotzdem 
selbst bei Gesetzesänderungen nicht be- 


139 


hoben wurden. Teilweise handelt es sich 
aber auch um bisher weniger bekannte 
Fälle von missverständlichen Formulie- 
rungen, die zu Fehlinterpretationen füh- 
ren können und bereits geführt haben’. 
Es soll nicht der Eindruck entstehen, 
dass Informatiker die besseren Juristen 
sind. Es ist aber vielleicht auch kein Zu- 
fall, dass dieser Artikel von einem Infor- 
matiker geschrieben wurde, denn die im 
Folgenden beschriebenen Probleme sind 
weitgehend auch in der Informatik be- 
kannt. Teilweise gibt es dort dafür hilf- 
reiche Methoden, um sie zu lösen oder 
wenigstens erkennen zu können oder im 
besten Fall von vornherein zu vermei- 
den bzw. gar nicht zu ermöglichen‘. 
Dieser Artikel beschreibt elf Beispie- 
le, die sich ausnahmslos auf das Daten- 
schutzrecht (alt und neu) beziehen, was 
damit zu tun hat, dass sich der Autor — 
wie oben beschrieben — als Datenschüt- 
zer speziell mit diesem Teil des Rechts 
befasst hat. Die Beispiele erheben daher 
keinen Anspruch auf Vollständigkeit. 


Die Beispiele beziehen sich auf fol- 
gende Themen: 

I. Begriffe / Definitionen 

II. Toter Code 

II. Sprachwirrwarr 


Teil I: Begriffe / Definitionen 


Erläuterung 


Das Datenschutzrecht enthält unter- 
schiedliche Varianten von Problemen 
mit Begriffen und Definitionen. Zum 
einen gibt es ungünstige bzw. missver- 
ständliche Definitionen (1., 4. und 5. 
Beispiel). Andererseits fehlen häufig 
Definitionen von Begriffen, für die es 
aber klare Vorstellungen gibt (1. und 2. 
Beispiel). Ferner existieren Wortvarian- 
ten von definierten Begriffen, bei denen 
man darüber streiten kann, ob es sich 
nur um einen anderen Ausdruck für ei- 
nen klar definierten Begriff handelt oder 
um etwas ganz Anderes (1. und 3. Bei- 
spiel). Es kann aber auch passieren, dass 
eine Unklarheit durch eine Übersetzung 
entsteht (4. und 5. Beispiel), was aber 
nicht bedeuten muss, dass das Original 
aussagekräftiger war (5. Beispiel). Die 
folgenden Beispiele erläutern von allem 
etwas. Die meisten fallen sogar in meh- 
rere der oben genannten Kategorien. 
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1. Beispiel: Was bedeutet „schriftlich“? 


Dieses erste Beispiel zeigt bereits, 
dass es nicht ausschließlich um das Da- 
tenschutzrecht geht, denn der Begriff 
„schriftlich“ kommt auch in vielen an- 
deren Gesetzen vor. Man sollte also an- 
nehmen, dass er klar definiert ist. Wenn 
man Juristen danach fragt, bekommt 
man oft die Antwort, dass „schriftlich“ 
immer „Schriftform“ bedeutet und die 
Schriftform im $ 126 BGB definiert ist. 
Damit ist der Fall dann klar. 

Ganz so klar ist der Fall aber dann 
doch nicht, weil es Fälle gibt, in denen 
allgemein argumentiert wird, dass hier 
keine formale „Schriftform“ erforder- 
lich ist.’ 

Als Beispiel für die Auslegung von 
„schriftlich“ im Sinne von „Schriftform“ 
kann der $ 11 Abs. 2 Satz 2 BDSG-alt 
genannt werden: 

„Der Auftrag ist schriftlich zu erteilen, 
wobei insbesondere im Einzelnen festzu- 
legen sind: “ 


Obwohl dort „schriftlich‘“ steht, kann 
man überall nachlesen, dass der hier 
beschriebene ADV-Vertrag in „Schrift- 
form“ vorliegen muss. 

Anders sieht es mit $ 28 Abs. 3a 

BDSG-alt aus: 
„Wird die Einwilligung nach $ 4a Absatz 
1 Satz 3 in anderer Form als der Schrift- 
form erteilt, hat die verantwortliche Stel- 
le dem Betroffenen den Inhalt der Ein- 
willigung schriftlich zu bestätigen, es sei 
denn, dass die Einwilligung elektronisch 
erklärt wird und die verantwortliche Stel- 
le sicherstellt, dass die Einwilligung pro- 
tokolliert wird und der Betroffene deren 
Inhalt jederzeit abrufen und die Einwil- 
ligung jederzeit mit Wirkung für die Zu- 
kunft widerrufen kann.“ 


Interessant — und gleichzeitig ein Ar- 
gument für die andere Auslegung des 
Begriffes „schriftlich“ — ist, dass hier 
in einem Satz beide Begriffe „Schrift- 
form“ und „schriftlich“ vorkommen. 
Bei der Auslegung dieses Absatzes 
wird allgemein argumentiert, dass eine 
Bestätigung einer nicht in Schriftform 
erteilten Einwilligung zwar zu erfolgen 
hat — diese aber nicht die „Schriftform“ 
erfüllen muss; denn anderenfalls hätte 
man hier auch explizit „Schriftform“ 
geschrieben. 


Diese Auslegung macht unter prak- 
tischen Gesichtspunkten Sinn. Wenn 
man in einem Prozess eine große Anzahl 
von Einwilligungen einholen würde, die 
nicht in „Schriftform“ vorliegen würden 
und diese dann alle z. B. auf dem Post- 
weg in „Schriftform“ bestätigen müsste, 
dann müsste es Angestellte geben, die 
wie am Fließband diese Anschreiben un- 
terschreiben. Das würde man so kaum 
umsetzen. Man würde mit eingescannten 
Unterschriften arbeiten, wie das oft der 
Fall ist. Solche Schreiben erfüllen aber 
per Definition nach $ 126 BGB keine 
„Schriftform“. Die Schriftform macht 
hier nur bei den Einwilligungen selbst 
Sinn, denn damit hätte man einen Beweis 
für die Einwilligung. Die Bestätigung in 
„Schriftform“ beweist gar nichts. 

Wenn es aber stimmt, dass „schrift- 
lich“ in diesem Fall nicht „Schriftform“ 
bedeutet, dann muss die Frage erlaubt 
sein, warum an anderer Stelle im glei- 
chen Gesetz (und in anderen Gesetzen) 
„schriftlich“ wie selbstverständlich als 
„Schriftform“ zu interpretieren ist. 

Das Problem der Interpretation von 
„schriftlich“ wird in die neue Rechtspre- 
chung übernommen. Im Art. 28 Abs. 9 
DS-GVO steht: 

„Der Vertrag oder das andere Rechts- 
instrument im Sinne der Absätze 3 und 
4 ist schriftlich abzufassen, was auch in 
einem elektronischen Format erfolgen 
kann.“ 

Diese Formulierung lässt zunächst 
vermuten, dass „schriftlich“ auch et- 
was Anderes als „Schriftform“ bedeu- 
ten kann. Ganz eindeutig ist das aber 
nach wie vor nicht, denn man könnte 
argumentieren, dass das „elektronische 
Format“ auch mit der „elektronischen 
Form“ nach $ 126a BGB erfüllt ist, die 
wiederum nach $ 126 BGB die Schrift- 
form erfüllt. 

Die Beantwortung der Frage, was 
„schriftlich“ genau bedeutet, ist keine 
Bagatelle, denn es kann einen deutli- 
chen Aufwandsunterschied bei Prozes- 
sen ausmachen, ob die Dokumente in 
„Schriftform“ vorliegen müssen oder 
nicht. 


2. Beispiel: Privileg der Auftragsda- 
tenverarbeitung (ADV) 


Das „Privileg der ADV“ besteht dar- 
in, dass ein Auftraggeber (Verantwort- 
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liche Stelle) im Falle einer ADV keine 
Rechtsgrundlage für eine Übermitt- 
lung der Daten an den Auftragnehmer 
braucht. 

Dieses „Privileg der ADV“ ist weder 
im BDSG-alt noch in der DS-GVO de- 
finiert, es ist in beiden jedoch enthalten. 
Im BDSG-alt kann es aus den Defini- 
tionen der Begriffe „übermitteln“ und 
„Dritter“ hergeleitet werden, in der DS- 
GVO ist es leider nicht so einfach — gel- 
ten soll es dort aber trotzdem.* 

Der eigentliche Paragraf zur ADV ist 
der $ 11 BDSG-alt „Erhebung, Verar- 
beitung oder Nutzung personenbezoge- 
ner Daten im Auftrag‘. Dieser Paragraf 
11 enthält keine Aussage darüber, ob ein 
Auftraggeber seine Daten an einen Auf- 
tragnehmer weitergeben? darf oder ob er 
dafür eine Rechtsgrundlage braucht. Die 
Antwort auf diese Frage erschließt sich 
aus folgenden Definitionen: 

Im $ 3 Abs. 4 Nr. 3 BDSG-alt wird 
„übermitteln“ definiert als: 

„das Bekanntgeben gespeicherter oder 
durch Datenverarbeitung gewonnener 
personenbezogener Daten an einen 
Dritten in der Weise, dass 

a) die Daten an den Dritten weitergege- 
ben werden oder 

b) der Dritte zur Einsicht oder zum Ab- 
ruf bereitgehaltene Daten einsieht oder 
abruft,“ 


Im $ 3 Abs. 8 BDSG-alt wird „Drit- 
ter“ folgendermaßen definiert: 
„Dritter ist jede Person oder Stelle au- 
$erhalb der verantwortlichen Stelle. 
Dritte sind nicht der Betroffene sowie 
Personen und Stellen, die im Inland, in 
einem anderen Mitgliedstaat der Euro- 
päischen Union oder in einem anderen 
Vertragsstaat des Abkommens über den 
Europäischen Wirtschaftsraum perso- 
nenbezogene Daten im Auftrag erheben, 
verarbeiten oder nutzen.“ 


Ein Auftragnehmer einer ADV ist also 
laut der Definition für „Dritte“ kein Drit- 
ter, und eine Übermittlung findet per De- 
finition immer an „Dritte“ statt, sodass es 
sich bei einer Weitergabe von Daten im 
Rahmen einer ADV nicht um „Übermitt- 
lung“ handelt, was wiederum zur Folge 
hat, dass man keine Rechtsgrundlage für 
eine Übermittlung braucht. 

Das ist zwar um mehrere Ecken ge- 
dacht, scheint aber nachvollziehbar zu 
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sein. Bei genauerer Betrachtung gibt 
es mit diesem Konstrukt jedoch große 
praxisrelevante Probleme. Das „Privi- 
leg der ADV“ gilt nämlich nicht grund- 
sätzlich. Es gilt nur für „Stellen, die im 
Inland, in einem anderen Mitgliedstaat 
der Europäischen Union oder in einem 
anderen Vertragsstaat des Abkommens 
über den Europäischen Wirtschaftsraum 
personenbezogene Daten im Auftrag er- 
heben, verarbeiten oder nutzen.“ 


Man wollte offensichtlich vermeiden, 
dass über das Konstrukt der ADV auch 
Daten an Auftragnehmer in (unsicheren) 
Drittstaaten weitergegeben werden kön- 
nen, denn die Einschränkung die dafür 
gelten, beziehen sich ja auch auf „Über- 
mittlungen“ und bei einer ADV würde 
es sich ja nicht um „Übermittlung“ han- 
deln. Übersehen wurde dabei, dass es 
auch eine Reihe von „sicheren Drittstaa- 
ten“ gibt, denen die EU-Kommission 
ein „angemessenes Datenschutzniveau“ 
bescheinigt hat. Aufgrund der oben an- 
gegebenen Definition entfällt das Pri- 
vileg der ADV trotz des von offizieller 
Stelle bescheinigten angemessenen Da- 
tenschutzniveaus auch bei den sicheren 
Drittstaaten. Wenn man z. B. einen ADV- 
Vertrag mit einem Auftragnehmer in der 
Schweiz!’ abschließt, dann braucht man 
zusätzlich noch eine Rechtsgrundlage 
für eine „Übermittlung“. 

Als Rechtsgrundlage wird in solchen 
Fällen oft $ 28 „Datenerhebung und 
-speicherung für eigene Geschäftszwe- 
cke“ Abs. 1 BDSG-alt herangezogen. 
Diese Rechtsgrundlage ist jedoch einer- 
seits ein ganz dünnes Brett, was hier aber 
nicht weiter diskutiert werden soll. An- 
dererseits gilt der $ 28 Abs. 1 BDSG-alt 
auch nur für „nicht-Ööffentliche Stellen“. 

Der Abschnitt 2 BDSG-alt für „öffent- 
liche Stellen“ mit den $$ 12 bis 26 ent- 
hält keine entsprechende Rechtsgrundla- 
ge für „eigene Geschäftszwecke“, denn 
öffentliche Stellen haben keine eigenen 
Geschäftszwecke zu haben, sondern nur 
ihren jeweiligen gesetzlichen Auftrag 
zu erfüllen. Ob das immer so passt, sei 
hier einmal dahingestellt. Auf jeden Fall 
kann es bei öffentlichen Stellen wie bei 
jeder nicht-öffentlichen Stelle vorkom- 
men, dass Auftragnehmer im Rahmen 
einer ADV einzubinden sind. 

Das bedeutet, dass öffentliche Stellen 
bisher ADV-Verträge weder mit Auf- 


tragnehmern in (unsicheren) Drittstaa- 
ten!' noch mit Auftragnehmern in si- 
cheren Drittstaaten abschließen können. 
Ersteres könnte aufgrund der Snowden- 
Veröffentlichungen noch gewollt gewe- 
sen sein, wenn diese Beschränkung nach 
dessen Veröffentlichungen ins Gesetz 
gekommen wäre; für Auftragnehmer in 
sicheren Drittstaaten ist das gar nicht 
nachvollziehbar. 

Mit der DS-GVO wird das zum Glück 
anders. Dort gibt es die unselige Verqui- 
ckung in der Definition von „Dritten“ 
nicht mehr in Abhängigkeit von dem 
Land, in dem sich der Dritte befindet 
bzw. die Daten verarbeitet (siehe Art. 4 
Nr. 10 DS-GVO). An anderer Stel- 
le (ErwG. 48 DS-GVO - siehe auch 
3. Beispiel) wird dann klargestellt, dass 
die Vorgaben für Drittländer trotzdem zu 
beachten sind, womit dann alles gut ist. 

Im Bereich der Informatik kennt man 
in diesem Zusammenhang Begriffe wie 
Kopplung'? und Kohäsion'? (Bindung). 
Angestrebt wird eine starke Bindung in- 
nerhalb einer logischen Einheit, jedoch 
eine lose Kopplung zu anderen Einhei- 
ten, um die Abhängigkeiten und daraus 
resultierende Seiteneffekte zu mini- 
mieren. Im oben angegebenen Beispiel 
verursacht die Definition von „Dritter“ 
eine starke Kopplung und somit eine 
Abhängigkeit zu einem Thema, das da- 
mit eigentlich nichts zu tun hat, nämlich, 
dass es (unsichere) Drittstaaten gibt, bei 
denen ein angemessenes Datenschutzni- 
veau sichergestellt sein muss, bevor die 
Daten dort erhoben, verarbeitet oder ge- 
nutzt werden dürfen. 


3. Beispiel: Unternehmensgruppe, 
Konzern, Konzernprivileg 


Im BDSG-alt sind alle drei Begriffe 
nicht definiert. Das klingt zunächst kon- 
sequent, weil es kein Konzernprivileg 
gibt. Manche Unternehmen — insbeson- 
dere die ganz großen in den USA ansäs- 
sigen Konzerne — verhalten sich jedoch 
oft so, als ob es ein Konzernprivileg 
gäbe. An dieser Stelle wäre es hilfreich, 
wenn es im Gesetz eine klare Aussage 
darüber gäbe, was es explizit nicht gibt. 

Wenn z. B. ADV-Verträge mit einem 
Unternehmen in Europa abgeschlossen 
werden (siehe 2. Beispiel), dann werden 
dort typischerweise weitere Unterauf- 
tragnehmer angegeben und eine Über- 
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mittlung in Drittstaaten ausgeschlossen. 
Manche dieser Verträge enthalten eine 
harmlos aussehende Klausel, wonach 
die Weitergabe der Daten innerhalb des 
Konzerns davon ausgeschlossen ist. 

Das ist jedoch genau das Konzernpri- 
vileg, das es nicht gibt! Wenn es sich 
dann außerdem noch um einen Konzern 
mit Niederlassungen bzw. sogar der 
Konzernmutter in einem (unsicheren) 
Drittstaat handelt, dann ist das gesamte 
Konstrukt der ADV und des damit ver- 
bundenen Privilegs (siehe 2. Beispiel) 
aufgehoben. 

Die Juristen dieser Konzerne — von 
denen man weiß, dass sie es besser wis- 
sen — argumentieren gern damit, dass 
das kein Problem sei, weil der Konzern 
ja dem Safe Harbor Abkommen bzw. 
inzwischen dem EU-US Privacy Shield 
beigetreten ist. 

In der DS-GVO ist der Begriff „Un- 
ternehmensgruppe‘“ nun im Art. 4 Nr. 19 
folgendermaßen definiert: 

„eine Gruppe, die aus einem herrschen- 
den Unternehmen und den von diesem 
abhängigen Unternehmen besteht“ 


Unter Berücksichtigung des Erwä- 
gungsgrunds 37 DS-GVO ist eine Un- 
ternehmensgruppe nach dieser Defini- 
tion zwar nicht unbedingt ein Konzern, 
aber ein Konzern kann nach dieser De- 
finition in jedem Fall als Unternehmens- 
gruppe angesehen werden. Ursprünglich 
soll auch ein Konzernprivileg in der DS- 
GVO geplant gewesen sein, das dann 
aber in der Verhandlungsphase wieder 
herausgenommen wurde. Die Definition 
der Unternehmensgruppe ist jedenfalls 
geblieben, und sie wird auch an einigen 
Stellen — wenn auch selten — benutzt. 

Relevant könnte der Begriff der Un- 
ternehmensgruppe im Zusammenhang 
mit Art. 6 „Rechtmäßigkeit der Verar- 
beitung‘“ Abs. 1 lit. f) DS-GVO werden: 
„(]) Die Verarbeitung ist nur rechtmä- 
‚ig, wenn mindestens eine der nachste- 
henden Bedingungen erfüllt ist: 


P) die Verarbeitung ist zur Wahrung 
der berechtigten Interessen des Ver- 
antwortlichen oder eines Dritten er- 
forderlich, sofern nicht die Interessen 
oder Grundrechte und Grundfreiheiten 
der betroffenen Person, die den Schutz 
personenbezogener Daten erfordern, 
überwiegen, insbesondere dann, wenn 
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es sich bei der betroffenen Person um 
ein Kind handelt.“ 


Hier kommen zwar die Begriffe „Un- 
ternehmensgruppe“, „Konzern“ oder 
„Konzernprivileg‘“ nicht vor, aber im 
Zusammenhang mit Erwägungsgrund 
48 DS-GVO hat sich das Konzernprivi- 
leg nun doch durch die Hintertür — je- 
denfalls im Ansatz — eingeschlichen. 

ErwG. 48 DS-GVO lautet: 
„Verantwortliche, die Teil einer Unter- 
nehmensgruppe oder einer Gruppe von 
Einrichtungen sind, die einer zentralen 
Stelle zugeordnet sind können ein be- 
rechtigtes Interesse haben, personenbe- 
zogene Daten innerhalb der Unterneh- 
mensgruppe für interne Verwaltungs- 
zwecke, einschließlich der Verarbeitung 
personenbezogener Daten von Kunden 
und Beschäftigten, zu übermitteln. Die 
Grundprinzipien für die Übermittlung 
personenbezogener Daten innerhalb 
von Unternehmensgruppen an ein Un- 
ternehmen in einem Drittland bleiben 
unberührt.“ 


Immerhin ist im letzten Satz (wie im 2. 
Beispiel bereits erwähnt) die Einschrän- 
kung vorgegeben, dass die Vorgaben in 
Bezug auf Übermittlung in (unsichere) 
Drittstaaten davon unberührt bleiben. 

Interessant und an dieser Stelle aus- 
drücklich erwähnenswert ist auch eine 
Stelle, an welcher der Begriff der „Un- 
ternehmensgruppe“ in der DS-GVO 
nicht steht, obwohl er ja definiert ist: 

Gemeint ist Art. 83 Abs. 4 und 5 DS- 
GVO, der allgemein'* dahingehend 
interpretiert wird, dass Konzerne mit 
Geldbußen von bis zu 2% bzw. 4% des 
weltweiten Vorjahresumsatzes rechnen 
müssen. 

Art. 83 Abs. 4 DS-GVO lautet: 

„Bei Verstößen gegen die folgenden Be- 
stimmungen werden im Einklang mit Ab- 
satz 2 Geldbußen von bis zu 10 000 000 
EUR oder im Fall eines Unternehmens 
von bis zu 2% seines gesamten weltweit 
erzielten Jahresumsatzes des vorange- 
gangenen Geschäfisjahrs verhängt, je 
nachdem, welcher der Beträge höher ist:“ 


Absatz 5 unterscheidet sich von Ab- 
satz 4 nur in den Beträgen (20 Millionen 
€ statt 10 Millionen € und 4% statt 2%) 
sowie in den hinter dem Doppelpunkt 
folgenden Unterpunkten. 


In beiden Absätzen steht das Wort 
„Unternehmen“ und nicht das Wort 
„Unternehmensgruppe“! 

Die Formulierung „seines gesamten 
weltweit erzielten Jahresumsatzes des 
vorangegangenen Geschäftsjahrs“ 
lässt zwar vermuten, dass damit der 
gesamte Konzern gemeint ist, und so 
wird es ja auch allgemein gesehen. Es 
geht hier aber um sehr viel Geld. Bei 
den ganz großen Konzernen, deren Ge- 
schäftsmodell hauptsächlich darin zu 
bestehen scheint, die datenschutzrecht- 
lichen Vorgaben zu ignorieren, kann es 
sich dann durchaus um hohe zwei- bis 
evtl. sogar dreistellige Millionenbeträ- 
ge handeln. Bei solchen Beträgen wird 
man keine Mühen und Kosten scheuen 
und mit einer Heerschar von Anwälten 
versuchen zu begründen, weshalb sich 
diese Absätze des Art. 83 DS-GVO 
nicht auf den Konzern beziehen kön- 
nen. Man stellt sich als naiver Daten- 
schützer schon die Frage, wie es sein 
kann, dass hier der definierte Begriff 
nicht genutzt wurde, obwohl er doch 
angeblich gemeint war. 

Mancher Leser könnte daher die Er- 
wähnung dieses Beispiels in einem Arti- 
kel über „Kuriositäten“ als geschmack- 
lose Untertreibung interpretieren. 


4. Beispiel: englisch: „Fairness“ — 
deutsch: „Verarbeitung nach Treu 
und Glauben“ 


In der englischen (Verhandlungs-) 
Sprache der DS-GVO ist in den Grund- 
sätzen in Art. 5 „fairness“ erwähnt. In 
der deutschen Übersetzung steht „Verar- 
beitung nach Treu und Glauben“. 

Die Begriffe „fair“, „fairness“ bzw. 
„Fairness“ stehen seit langer Zeit im 
deutschen Duden. Während man davon 
ausgehen kann, dass jeder, der Deutsch 
spricht, sich etwas darunter vorstellen 
kann, kann man sich da bei „Verarbei- 
tung nach Treu und Glauben“ nicht 
so sicher sein. Hier handelt es sich um 
einen juristischen Begriff, der aus dem 
„Bürgerlichen Gesetzbuch“ (BGB) 
kommen soll'® und entsprechend haupt- 
sächlich Juristen bekannt ist. 

Wenn man sich die Mühe macht und 
im BGB danach sucht, dann findet man 
nur sieben Paragrafen'‘, in denen der 
Begriff benutzt wird. In nur einem Pa- 
ragrafen kommt der Begriff bereits im 
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Titel vor, sodass dies evtl. als Definition 
herangezogen werden kann: 


8 242 „Leistung nach Treu und Glau- 

ben“ BGB lautet: 
„Der Schuldner ist verpflichtet, die Leis- 
tung so zu bewirken, wie Treu und Glau- 
ben mit Rücksicht auf die Verkehrssitte 
es erfordern.“ 

Was das genau bedeutet und was es 
zur Klarheit beiträgt, soll hier nicht nä- 
her betrachtet werden. Es scheint jeden- 
falls nichts Unanständiges zu sein. 


5. Beispiel: englisch: „Controller“ — 
deutsch: „Verantwortlicher“ 


Die Begriffe für die in einer Auf- 
tragsdatenverarbeitung (ADV)'’ vor- 
kommenden Rollen von Auftraggeber 
und Auftragnehmer sind in der DS- 
GVO definiert als „Verantwortlicher“ 
(Art. 4 Nr. 7) und als „Auftragsverar- 
beiter“ (Art. 4 Nr. 8). Die Rolle des 
„Verantwortlichen“ wird an vielen 
Stellen auch ohne Auftragsverhältnis 
genutzt, sodass nachvollziehbar ist, 
warum man einen anderen Begriff als 
„Auftraggeber“ nehmen musste. Im 
BDSG-alt heißt diese Rolle bis heute 
noch „Verantwortliche Stelle“. Das 
ist zwar sperriger, birgt aber nicht so 
leicht das Risiko einer Verwechslung 
mit dem allgemeinen Begriff eines 
Verantwortlichen, der ja auch in ande- 
rem Zusammenhang genutzt werden 
kann. 

Die oben genannte Begriffsdefiniti- 
on kann insbesondere dann zu Prob- 
lemen führen, wenn man den Begriff 
„Verantwortlicher“ einerseits im Sin- 
ne der Definition - also als bestimmte 
Rolle — versteht und andererseits un- 
abhängig davon als denjenigen, der 
für etwas „verantwortlich“ ist. So ist 
es im Art. 82 „Haftung und Recht auf 
Schadenersatz“ Abs. 3 DS-GVO ge- 
schehen. Dort steht: 

„Der Verantwortliche oder der Auf- 
tragsverarbeiter wird von der Haftung 
gemäß Absatz 2 befreit, wenn er nach- 
weist, dass er in keinerlei Hinsicht für 
den Umstand, durch den der Schaden 


eingetreten ist, verantwortlich ist.“ 
Jan Philipp Albrecht schreibt dazu in 


seinem Buch „Das neue Datenschutz- 
recht“ im Kap. 8 Rn. 22: 
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„Anders als der verunglückte Wortlaut 
der deutschen Sprachfassung von Art. 82 
Abs. 3 DSGVO nahelegt, kommt es nicht 
darauf an, dass der Schädiger für die Da- 
tenverarbeitung verantwortlich iSv Art. 4 
Nr. 7 DSGVO ist, sondern dass ihn kein 
Verschulden an der Datenschutzrechts- 
widrigen Verarbeitung trifft.“ 


In der englischen Version besteht die- 
ses Problem zwar nicht, aber sehr spre- 
chend sind die Begriffe für Auftraggeber 
und Auftragnehmer dort auch nicht. Im 
englischen Original lauten sie „control- 
ler“ und „processor“. 

Insbesondere für IT-ler klingt das 
mehr nach technischen Bauteilen als 
nach den Rollen, für die sie stehen. 


Teil Il: Toter Code 
Erläuterung 


Toter Code ist in der Programmierung 
ein Begriff für Teile eines Computer- 
programms, die an keiner Stelle im Pro- 
gramm verwendet werden. '® 

In der Schreibweise eines Pseudoco- 
des!” könnte das z. B. folgendermaßen 
aussehen: 
wennx>=0dann z=1 

sonst 
wenn x=2 dann z=2 
sonst z=0. 

Das bedeutet, die Variable „z“ soll 
also den Wert „1“ annehmen, wenn die 
Variable „x“ positiv (größer oder gleich 
0) ist. Anderenfalls („sonst“) soll sie 
den Wert „O0“ annehmen, mit der einen 
Ausnahme, nämlich wenn ,„x=2“ ist. In 
diesem Fall soll „z=2“ sein. 

Dieser explizit abgefragte Sonderfall 
„x=2“ wird jedoch an der abgefragten 
Stelle nie erreicht, denn er steht im 
„sonst“-Zweig” der oberen Abfrage — 
also dem Fall, bei dem „x >= 0“ nicht 
erfüllt und somit die Variable „x“ 
negativ ist. Ein negativer Wert von x 
kann jedoch niemals „2“ sein, sodass 
bei diesem zweiten „wenn“-Zweig 
immer der „sonst“-Zweig ausgeführt 
wird und somit der „dann“-Zweig die- 
ser zweiten Abfrage nie ausgeführt 
werden kann. 

Ähnliches kann es in Gesetzen geben, 
wenn dort Fälle geregelt werden, die es 
— zumindest an der Stelle an der sie ste- 
hen - nicht geben kann. 


6. Beispiel: Absatz mit einer Erweite- 
rung des Anwendungsbereiches, der 
jedoch in keinem Fall relevant sein 
kann 


$ 32 Abs. 2 BDSG-alt lautet: 
„Absatz I ist auch anzuwenden, wenn 
personenbezogene Daten erhoben, 
verarbeitet oder genutzt werden, ohne 
dass sie automatisiert verarbeitet oder 
in oder aus einer nicht automatisierten 
Datei verarbeitet, genutzt oder für die 
Verarbeitung oder Nutzung in einer sol- 
chen Datei erhoben werden. “?! 


8 27 Abs. 2 BDSG-alt lautet 

„Die Vorschriften dieses Abschnittes 
gelten nicht für die Verarbeitung und 
Nutzung personenbezogener Daten au- 
‚Rerhalb von nicht automatisierten Da- 
teien, soweit es sich nicht um personen- 
bezogene Daten handelt, die offensicht- 
lich aus einer automatisierten Verarbei- 
tung entnommen worden sind.” 


Die im $ 27 Abs. 2 BDSG-alt ange- 
gebene Bedingung für die Nutzung 
(bzw. Nichtnutzung) des Abschnitts” 
beschreibt mit anderen Worten genau 
den Fall, der im $ 32 Abs. 2 BDSG-alt 
angegeben ist. Dieser Fall kann aber nie 
eintreten, weil der gesamte Abschnitt 3 
in diesem Fall ja nicht gilt und somit 
auch nicht der darin enthaltene $ 32 Abs. 
2 BDSG-alt, der die Ausnahme von der 
Ausnahme darstellen soll. 

Vereinfacht ausgedrückt steht im 
8 32 Abs. 2 BDSG-alt, dass der Absatz 
l auch für Daten in einer unstrukturier- 
ten Papierablage gilt und im $ 27 Abs. 
2 BDSG-alt steht, dass der Abschnitt 3 
(und somit auch $ 32) für Papierablage 
nicht gilt. 

Auf die hier beschriebene Problema- 
tik angesprochen erwiderte ein Jurist 
dem Autor einmal „lex specialis derogat 
legi generali‘”*. Dieses im Datenschutz- 
recht oft anzuwendende Prinzip kann in 
diesem Fall aber — seriös ausgelegt — 
nicht gelten, weil das „lex specialis‘“ ja 
gar nicht erst gelesen wird, wenn man 
das Gesetz für den nicht anwendbaren 
Fall auch nicht weiterliest. Computer 
sind in solchen Fällen jedenfalls sehr 
konsequent. 

Das oben beschriebene Problem von 
8 32 Abs. 2 BDSG-alt tritt übrigens 
nicht nur mit dem $ 27 Abs. 2 BDSG- 
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alt auf, sondern auch schon mit dem $ 1 
Abs. 2 Nr. 3 BDSG-alt. Auch dort steht, 
im „Zweck und Anwendungsbereich 
des Gesetzes“, dass die Verarbeitung 
personenbezogener Daten für nicht- 
öffentliche Stellen (Abschnitt 3 mit den 
88 27 bis 38a) nicht für unstrukturierte 
Papierablage gilt, die laut $ 32 Abs. 2 
dann aber ausnahmsweise doch rele- 
vant sein soll. 

Im $ 12 (Anwendungsbereich des Ab- 

schnitts 2 für die „öffentlichen Stellen“ 
— bestehend aus den $$ 12 - 26) Abs. 4 
BDSG -alt steht: 
„Werden personenbezogene Daten für 
frühere, bestehende oder zukünftige 
dienst- oder arbeitsrechtliche Rechts- 
verhältnisse erhoben, verarbeitet oder 
genutzt, gelten $ 28 Absatz 2 Nummer 2 
und die $$ 32 bis 35 anstelle der $$ 13 
bis 16, 19 bis 20.“ 


Der Abschnitt 2 für öffentliche Stel- 
len gilt aber sehr wohl auch für Daten 
in einer unstrukturierten Papierablage. 
Das bedeutet, dass in dem in $ 12 Abs. 4 
BDSG-alt beschriebenen Fall einer 
Verarbeitung von Beschäftigtendaten 
der $ 32 in einem ganz anderen Kon- 
text zur Anwendung kommt als es im 
Abschnitt 3 vorgesehen ist. In diesem 
Fall kann der Absatz 2 des $ 32 zwar 
zur Anwendung kommen, aber er ist 
nicht nötig und somit redundant. Denn 
vom Abschnitt 2 kommend gibt es ja 
die Einschränkung gar nicht, dass die 
Verarbeitung einer unstrukturierten Pa- 
pierablage vom Gesetz ausgenommen 
ist. Auch aus $ 1 BDSG-alt gibt es in 
diesem Fall kein Problem mehr. 

Übertragen auf die Informatik ent- 
spricht das einem sogenannten „Spa- 
ghetticode“”, bei dem Programme in 
den Anfängen der Programmierung oft 
durch viele Sprungbefehle „GOTO“ 
extrem unübersichtlich wurden und da- 
durch nicht mehr wartbar waren. Das 
hatte zur Folge, dass es bei neuen An- 
forderungen oft günstiger war, die Soft- 
ware neu zu erstellen als die vorhandene 
noch einmal anzupassen. 

Genau das ist ja nun auch mit dem 
Datenschutzrecht geschehen. Bevor 
man sich entscheidet, ob es übersicht- 
licher wurde, sollte man aber die fol- 
genden Beispiele lesen, die sich teil- 
weise bereits auf dieses neue Recht 
beziehen. 
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Teil III: Sprachwirrwarr 
Erläuterung 


Die folgenden Beispiele (7. bis 11. Bei- 
spiel) haben gemeinsam, dass sie sprach- 
lich etwas zu bieten haben. Während die 
beiden nächsten Beispiele einfach nur 
kurios im Sinne dieses Artikels, aber 
ansonsten datenschutzrechtlich harmlos 
sind, betrifft das 9. Beispiel die mehrfa- 
che Verneinung, die durchaus verwirren 
und somit zu Verständnisproblemen füh- 
ren kann. Die letzten beiden Beispiele 
können echte Kopfschmerzen bereiten 
(10. Beispiel) oder zu grundsätzlichen 
Missverständnissen führen (11. Beispiel). 


7. Beispiel: Sehr langer Satz 


Die DS-GVO beginnt auf der ers- 
ten Seite nach der Überschrift und ei- 
nem einleitenden Block mit folgendem 
Satz(-anfang): 

„DAS EUROPÄISCHE PARLAMENT 

UND DER RAT DER EUROPÄI- 

SCHEN UNION - 

gestützt auf den Vertrag über die Ar- 

beitsweise der Europäischen Union, 

insbesondere auf Artikel 16, 

auf Vorschlag der Europäischen Kom- 

mission, 

nach Zuleitung des Entwurfs des Ge- 

setzgebungsakts an die nationalen 

Parlamente, 

nach Stellungnahme des Europäi- 

schen Wirtschafts- und Sozialaus- 

schusses', 

nach Stellungnahme des Ausschusses 

der Regionen’, 

gemäß dem ordentlichen Gesetzge- 


bungsverfahren’,“ 


Die drei angegebenen Fußnoten ste- 
hen dann auch noch auf der 1. Seite, 
spielen im Zusammenhang mit diesem 
Beispiel aber keine Rolle und wurden 
daher hier weggelassen. 

Wenn man nun danach sucht, wo die- 
ser offensichtlich nicht abgeschlossene 
Satz weitergeht, dann kann man lange 
suchen. Auf den folgenden 106 Seiten 
werden zunächst die insgesamt 173 
Erwägungsgründe der DS-GVO abge- 
druckt, die ihrerseits aus vielen vollstän- 
digen Sätzen — jeweils mit einem Punkt 
am Ende und oft sogar aus mehreren 
Absätzen — bestehen. 


Aber dann — ganz plötzlich auf Seite 
107 — also noch vor dem ersten Artikel 
der Verordnung geht der Satz wie folgt 
weiter: 

„HABEN FOLGENDE VERORD- 

NUNG ERLASSEN: “ 


Danach kommen dann die 99 Artikel 
der Verordnung. 

Dieser Satz hat eine faire?” Chance, in 
das „Guinness Buch der Rekorde‘? auf- 
genommen zu werden. 

In der Informatik haben sich Program- 
mierrichtlinien sehr bewährt, in denen 
Regeln stehen, die beim Erstellen von 
Software einzuhalten sind. Dort steht 
meistens auch etwas über die Größe 
eines Moduls, das für Menschen”® mög- 
lichst lesbar bleiben soll. Anderenfalls 
ist so ein Programm nicht wartbar”. 
Bei deutlich mehr als einer Seite sollte 
dieser Code möglichst in mehrere über- 
schaubare Teile aufgeteilt?’ werden. 

Wenn ein Programmierer einen 
Code liefern würde, der z. B. eine „IF- 
THEN-ELSE“-Anweisung enthält, de- 
ren „TIHEN“- oder der „ELSE“-Zweig 
erst über 100 Seiten später zu Ende ist, 
dann wäre das ein Grund zur fristlosen 
Kündigung. 


8. Beispiel: Gendering / Geschlech- 
tergerechte Sprache 


Manche Datenschützer haben garnicht 
mitbekommen, dass sich das BDSG-alt 
im letzten Jahr geändert hat. Neben ein 
paar wenigen (wenn auch wichtigen) 
Veränderungen die BfDI betreffend, hat 
sich inhaltlich am Gesetz nichts geän- 
dert. Es fand jedoch ein „Gendering‘“? 
statt, bei dem viele Paragrafen in eine 
„geschlechtergerechte Sprache‘? über- 
führt wurden. 

Der $ 23 Abs. 1 Satz 3 BDSG-alt lau- 

tet beispielsweise®*: 
„Die Bundespräsidentin oder der Bundes- 
präsident entlässt die Bundesbeauftragte 
oder den Bundesbeauftragten, wenn diese 
oder dieser es verlangt oder auf Vorschlag 
der Präsidentin oder des Präsidenten des 
Bundestages, wenn Gründe vorliegen, die 
bei einer Richterin auf Lebenszeit oder ei- 
nem Richter auf Lebenszeit die Entlassung 
aus dem Dienst rechtfertigen.“ 


Man müsste so etwas eigentlich für ei- 
nen leicht durchschaubaren Aprilscherz 
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halten, aber so steht es tatsächlich im 
Gesetz. Der Klarheit, Transparenz oder 
Übersichtlichkeit dient dieser Trend je- 
denfalls nicht. Es lässt einem einfach nur 
die Tränen in die Augen schießen, wenn 
man sieht, wie die Sprache verhunzt wird. 
Andererseits macht es aber auch wütend, 
denn hier ist kein Fehler passiert wie (hof- 
fentlich) bei den anderen Beispielen, son- 
dern diese Veränderung wurde ganz be- 
wusst so herbeigeführt. Dass sich irgend- 
jemand besser oder gerechter behandelt 
fühlt, wenn Gesetze oder die deutsche 
Sprache insgesamt so umgeschrieben 
werden, darf bezweifelt werden. 

Selbst wenn sich jemand finden sollte, 
der sich über solch einen Satz wie oben 
erfreut, dann müsste man im Sinne einer 
Abwägung unter Berücksichtigung aller 
Betroffenen (das ist z. B. jedermann, der 
das Gesetz lesen, verstehen, interpretie- 
ren und Anderen erläutern muss — also 
mindestens jeder Datenschützer) zu dem 
Schluss kommen, dass ein Grund zu der 
Annahme besteht, dass das schutzwür- 
dige Interesse des Betroffenen an dem 
Ausschluss der Anpassung dieses Satzes 
an diese Gesetzesänderung überwiegt. 

Ein Lichtblick ist immerhin, dass es 
Stellen im Gesetz gibt, die nicht ange- 
passt wurden. Paragraf 43 Abs. 3 Satz 2 
BDSG-alt blieb beispielsweise unver- 
ändert: 

„Die Geldbuße soll den wirtschaftlichen 
Vorteil, den der Täter aus der Ordnungs- 
widrigkeit gezogen hat, übersteigen.“ 


Im BDSG-neu hat man die Schreib- 
weise weitgehend beibehalten. Die 
Unübersichtlichkeit wird nur dadurch 
etwas abgeschwächt, dass kürzere Sätze 
gebildet wurden. 

Ein Beispiel hierzu, das dem oben 
wiedergegebenen Satz nahe kommt, fin- 
det sich im $ 11 Abs. 1 BDSG-neu: 
„Der Deutsche Bundestag wählt ohne 
Aussprache auf Vorschlag der Bundes- 
regierung die Bundesbeauftragte oder 
den Bundesbeauftragten mit mehr als der 
Hälfte der gesetzlichen Zahl seiner Mit- 
glieder. Die oder der Gewählte ist von 
der Bundespräsidentin oder dem Bundes- 
präsidenten zu ernennen. Die oder der 
Bundesbeauftragte muss bei ihrer oder 
seiner Wahl das 35. Lebensjahr vollendet 
haben. Sie oder er muss über die für die 
Erfüllung ihrer oder seiner Aufgaben und 
Ausübung ihrer oder seiner Befugnisse 
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erforderliche Qualifikation, Erfahrung 
und Sachkunde insbesondere im Bereich 
des Schutzes personenbezogener Daten 
verfügen. Insbesondere muss die oder 
der Bundesbeauftragte über durch ein- 
schlägige Berufserfahrung erworbene 
Kenntnisse des Datenschutzrechts verfü- 
gen und die Befähigung zum Richteramt 
oder höheren Verwaltungsdienst haben.“ 


Alternativ hierzu enthalten viele Texte 
auch einen einleitenden Satz mit einer 
entsprechenden Klarstellung. Der fol- 
gende Satz ist einem Text einer Profes- 
sorin der TU Darmstadt entnommen: 
„Die Verwendung männlicher Sprache 
erfolgt im Interesse von Klarheit, Kürze 
und Einfachheit verbunden mit der Bit- 
te, nicht das grammatische Maskulinum 
auf das biologische Geschlecht zu redu- 
zieren.“ 


Danach kann man dann wie gewohnt 
weiterschreiben, und der Text bleibt les- 
bar. Wenn man so einen Satz aber jedem 
Text — einschließlich jedem Gesetz — vo- 
ranstellen muss, dann stellt das auch eine 
wenig sinnvolle Redundanz dar. Eventu- 
ell kann man den Satz noch einmal leicht 
modifizieren und an sehr zentraler Stelle 
einmalig platzieren, wie beispielsweise im 
BGB oder auch gleich im Grundgesetz. 

Zu diesem Beispiel gibt es in der In- 
formatik kein Äquivalent. 


9. Beispiel: mehrfache Verneinung 


Der Satz aus $ 27 Abs. 2 BDSG-alt 
war auch bereits im 6. Beispiel ein The- 
ma, wird hier aber als Beispiel zu dem 
Thema „mehrfache Verneinung“ noch 
einmal herangezogen. Wie man sieht, 
sind manche Sätze im BDSG-alt sehr 
ergiebig. 

In der Informatik sind doppelte Ver- 
neinungen überhaupt kein Problem - sie 
heben sich einfach auf. Wenn man sagt: 
„Ich habe nicht kein Geld“ dann bedeu- 
tet das, dass man Geld hat. Wenn man 
eine sechsfache Verneinung hat, dann 
entspricht das einer dreifachen doppel- 
ten Verneinung, sodass sich diese auch 
alle aufheben. Wenn man eine beliebige 
gerade Anzahl von Verneinungen hat, 
dann heben sich diese immer auf. Wenn 
man eine beliebige ungerade Anzahl von 
Verneinungen hat, dann entspricht das 
immer einer einfachen Verneinung. 


Sätze mit mehreren Verneinungen 
werden für den menschlichen Leser 
sehr schnell kompliziert und schwer 
verständlich. Darüber hinaus haben Ver- 
neinungen umgangssprachlich manch- 
mal eine andere Bedeutung, als nach 
der strengen Aussagenlogik: Wenn zum 
Beispiel jemand fragt: „Habe ich nicht 
recht?“ und man antwortet mit „ja“, 
dann bedeutet das im Sinne der Aussa- 
genlogik, dass man ihm bestätigt, „nicht 
recht“ zu haben. Umgangssprachlich 
wird eher das Gegenteil gemeint sein. Es 
stellt sich also die Frage, welche Inter- 
pretation in solchen Fällen bei Gesetzen 
zur Anwendung kommen soll. 


8 27 Abs. 2 BDSG-alt lautet 

„Die Vorschriften dieses Abschnittes 
gelten nicht für die Verarbeitung und 
Nutzung personenbezogener Daten au- 
$erhalb von nicht automatisierten Da- 
teien, soweit es sich nicht um personen- 
bezogene Daten handelt, die offensicht- 
lich aus einer automatisierten Verarbei- 
tung entnommen worden sind.“ 


Die Begriffe „automatisierte Datei“ 
und „nicht automatisierte Datei“ sind 
im $ 46 Abs. 1 BDSG-alt definiert, und 
da beginnt bereits das Problem. Wenn 
das eine das Gegenteil des anderen sein 
soll, wie es die Namen nahelegen, dann 
bräuchte man dafür keine zwei Definiti- 
onen — oder etwa doch? 


$ 46 Abs. 1 BDSG-alt lautet: 
„Wird in besonderen Rechtsvorschriften 
des Bundes der Begriff Datei verwendet, 
ist Datei 
l. eine Sammlung personenbezogener 
Daten, die durch automatisierte Verfah- 
ren nach bestimmten Merkmalen aus- 
gewertet werden kann (automatisierte 
Datei), oder 
2. jede sonstige Sammlung personen- 
bezogener Daten, die gleichartig auf- 
gebaut ist und nach bestimmten Merk- 
malen geordnet, umgeordnet und ausge- 
wertet werden kann (nicht automatisier- 
te Datei). 
Nicht hierzu gehören Akten und Akten- 
sammlungen, es sei denn, dass sie durch 
automatisierte Verfahren umgeordnet 
und ausgewertet werden können.“ 


Der Begriff „automatisierte Datei“ be- 
steht aus zwei Worten, und das „nicht“ 
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in „nicht automatisierte Datei“ bezieht 
sich nur auf das erste Wort „automati- 
siert“ und nicht auf den gesamten Be- 
griff, denn die „nicht automatisierte 
Datei“ ist nach der Definition nach wie 
vor eine Datei, was bei einer reinen Ver- 
neinung (dem Gegenteil des Begriffes 
„automatisierte Datei‘) nicht so wäre. 

Die zwei Definitionen für „automati- 
sierte Datei“ und „nicht automatisierte 
Datei“ sind somit nicht das Gegenteil 
voneinander. Erstere ist eine Compu- 
terdatei, letztere z. B. ein Papierordner, 
dessen Inhalte aber noch nach bestimm- 
ten Merkmalen geordnet sind (z. B. nach 
Alphabet) und entsprechend ausgewer- 
tet werden können. Der letzte Satz von 
8 46 Abs. 1 BDSG-alt steht z. B. für eine 
unsortierte Papierablage, für die es aber 
keinen definierten Begriff gibt - leider. 
Gemeint ist damit das, was im $27 Abs. 2 
BDSG-alt (s. oben) als „außerhalb von 
nicht automatisierten Dateien“ um- 
schrieben wird. 

Wenn jedoch mit „nicht automatisierte 
Datei“ z. B. ein Papierordner mit Regis- 
tern gemeint ist, dann schließt „außer- 
halb...“ davon auch jede Computerdatei 
mit ein, also auch eine „automatisierte Da- 
tei“, was aber definitiv nicht gemeint ist. 

Im Sinne der reinen Aussagenlogik 
lässt sich das alles nicht erschließen. 
Man muss einfach wissen, was mit die- 
sen Begriffen bzw. Formulierungen ge- 
meint ist, und sollte nicht zu sehr über 
den Wortlaut nachdenken — das hilft 
nicht, sondern verwirrt nur. 

Das bisher zu $ 27 Abs. 2 BDSG-alt 
Dargestellte ist bereits verwirrend ge- 
nug, aber es kommt noch ein Aspekt 
hinzu, der sogar eine weitere Kategorie 
der hier aufgezählten Kuriositäten dar- 
stellen könnte: Es handelt sich bei die- 
sem Absatz nämlich auch um ein Bei- 
spiel für eine Kombination aus „Selbst- 
bezogenheit“, — ,„Widersprüchlichkeit“ 
und „Zirkelhaftigkeit“ — alles wichtige 
Bestandteile eines Paradoxons.°’ 


Einfache Beispielsätze hierzu sind: 
„Keine Regel ohne Ausnahme.“ (Der 
Satz selbst ist auch eine Regel.) 
„Dieser Satz enthelt drei Feler.‘“ (Zwei 
Schreibfehler und die Aussage des 
Satzes.) 

Pinocchio sagt: „Meine Nase wächst 
gerade.“ (Überliefert ist, dass seine 
Nase wächst, wenn er lügt.) 
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Die Aussage im $ 27 Abs. 2 BDSG- 
alt „Die Vorschriften dieses Abschnittes 
gelten nicht für...“ beziehen sich auf den 
gesamten Abschnitt 3 BDSG-alt, beste- 
hend aus den Paragrafen 27 bis 38a. Der 
$ 27 ist selbst Teil dieses Abschnitts 3 
und gilt somit unter der angegebenen 
Voraussetzung nicht. Wenn der $ 27 
aber nicht gilt, dann entfällt auch die 
Einschränkung von Absatz 2, wonach er 
nicht gilt > also gilt er doch usw. 

In der Informatik kennt man so etwas 
leider auch. Das ist der Punkt, an dem 
man seinen Computer aus- und wieder 
einschaltet. 


10. Beispiel: Verarbeitung besonderer 
Kategorien personenbezogener Daten 


Die „Verarbeitung besonderer Kate- 
gorien personenbezogener Daten“ ist in 
Art. 9 DS-GVO geregelt. Der Artikel ist 
bereits recht umfangreich, aber für sich 
genommen noch verständlich. Er enthält 
(wie andere Artikel auch) jedoch Öff- 
nungsklauseln bzw. Konkretisierungs- 
vorgaben, sodass die nationalen Gesetz- 
geber sich hierzu auch auslassen dürfen. 
Das Ergebnis ist im $ 22 BDSG-neu 
nachzulesen. 

Eine verworrenere rechtliche Vorgabe 
kann man sich nicht mehr vorstellen.°® 
Was das Zusammenspiel dieser bei- 
den Rechtsgrundlagen genau bedeutet, 
kann hier nicht wiedergegeben werden 
— es würde den Rahmen dieses Bei- 
trags sprengen. Wer sich damit befassen 
möchte bzw. muss, dem sei ein sechssei- 
tiger Artikel von Thilo Weichert in der 
DuD°’ empfohlen, der sich ausschließ- 
lich mit diesem Thema befasst. 


Ein kleiner Auszug daraus: 

„8 22 BDSG-neu regelt minima- 
listisch die Verarbeitung ‚besonderer 
Kategorien personenbezogener Da- 
ten‘, indem er in Abs. 1 den Inhalt der 
Öffnungsklauseln in Art. 9 Abs. 2 DS- 
GVO teilweise fast wortgetreu wieder- 
holt: Aus lit. b DS-GVO wird Nr. 1 lit. 
a BDSG-neu; aus lit. h DS-GVO wird 
Nr. 1 lit. b BDSG-neu; aus lit. i DS-GVO 
wird Nr. 1 lit. c; aus lit. g DS-GVO wird 
Nr. 2 lit. a-d BDSG-neu, wobei norma- 
tive Begrenzungen darin liegen, dass 
nur öffentliche Stellen berechtigt wer- 
den und dass eine Güterabwägung zur 
Pflicht gemacht wird....“ 


Im Fazit steht dann: 
„.„Derweil bleibt den Anwendern und 
Betroffenen nichts anderes übrig, als zu 
versuchen, trotz des Regelungschaosses 
effektiven Grundrechtsschutz zu reali- 
sieren...“ 


Eventuell hilft Erwägungsgrund 58 
Satz 1 DS-GVO an dieser Stelle weiter: 
„Der Grundsatz der Transparenz setzt 
voraus, dass eine für die Öffentlichkeit 
oder die betroffene Person bestimmte 
Information präzise, leicht zugänglich 
und verständlich sowie in klarer und 
einfacher Sprache abgefasst ist und ge- 
gebenenfalls zusätzlich visuelle Elemen- 
te verwendet werden.“ 


Sollte das dann nicht auch für das 
BDSG-neu gelten, das ja die Öffnungs- 
klauseln der DS-GVO nur umsetzt und 
sich somit auch selbst an deren Vorga- 
ben zu halten hat? 

Wie viele Datenschützer, egal ob Ju- 
risten oder Informatiker, das Zusam- 
menspiel’®® von Art. 9 DS-GVO und 
8 22 BDSG-neu verstehen und den Mit- 
arbeitern der betreuten Unternehmen 
verständlich erläutern können, ist nicht 
abzusehen. Wie kann man als Daten- 
schützer darauf überhaupt reagieren? 

Im Mittelalter gab es Bräuche”, die 
man gegenüber den ausgemachten Ver- 
antwortlichen für ein Unheil, das diese 
der Allgemeinheit zugefügt hatten, für 
angemessen hielt. Beim Sinnieren dar- 
über fällt einem dann aber ein, dass man 
sich als Datenschützer ja für die Einhal- 
tung der Grundrechte einsetzt, sodass 
man solche Gedanken sofort wieder ver- 
werfen muss. 

Aber: Die Gedanken sind frei, und sie 
kommen immer wieder. 


11. Beispiel: Korrekte Deutung einer 
Verschachtelung 


Artikel 39 „Aufgaben des Daten- 
schutzbeauftragten“ Abs. 1 DS-GVO 
beginnt mit: 

„Dem Datenschutzbeauftragten oblie- 
gen zumindest folgende Aufgaben: “ 


Nach einem Absatz zu lit a) kommt 
dann folgender Absatz zu lit b): 
„Überwachung der Einhaltung dieser 
Verordnung, anderer Datenschutzvor- 
schriften der Union bzw. der Mitglied- 
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staaten sowie der Strategien des Verant- 
wortlichen oder des Auftragsverarbei- 
ters für den Schutz personenbezogener 
Daten einschließlich der Zuweisung von 
Zuständigkeiten, der Sensibilisierung 
und Schulung der an den Verarbeitungs- 
vorgängen beteiligten Mitarbeiter und 
der diesbezüglichen Überprüfungen; “ 


Der Autor dieses DANA-Artikels“ las 

vor einigen Monaten in einem Buch?! 
über die Umsetzung der DS-GVO in 
Unternehmen folgenden Satz: 
„Ferner fordert Art. 39 Abs. 1 lit (b) 
DSGVO ausdrücklich die ‚Sensibilisie- 
rung und Schulung der an den Verarbei- 
tungsvorgängen beteiligten Mitarbeiter‘ 
durch den Datenschutzbeauftragten. “ 


Der Satz klingt zunächst unspekta- 
kulär. Schließlich gehörte die Schulung 
auch bisher zu den Aufgaben eines DSB 
($ 4g Abs. I Nr. 2 BDSG-alt) und warum 
sollte das mit der DS-GVO anders sein. 

Es stellt sich aber die Frage, ob Art. 39 
Abs. 1 lit b) DS-GVO tatsächlich diese 
Anforderung enthält. 

Bevor diese Frage beantwortet wird, 
soll hier gezeigt werden, mit welchem 
Hilfsmittel man sich in der Informatik 
die Übersicht über Verschachtelungen 
erhält: Texte werden mit jeder Schach- 
telungstiefe immer weiter eingerückt.” 

Folgender Satz kann durch Einrü- 

ckungen deutlich an Übersichtlichkeit 
gewinnen: 
„Denken Sie, wie tragisch der Krieger, 
der die Botschaft, die den Sieg, den die 
Athener bei Marathon, obwohl sie in 
der Minderheit waren, nach Athen, das 
in großer Sorge, ob es die Perser nicht 
zerstören würden, schwebte, erfochten 
hatten, verkündete, brachte, starb.“ 


Einrückungen sind zwar mit Sicher- 
heit keine Erfindung aus dem Bereich 
der Informatik, aber beim Programmie- 
ren wird davon konsequent Gebrauch 
gemacht. Von Weitem betrachtet sehen 
ausgedruckte Computerprogramme 
manchmal tatsächlich so schlangenli- 
nienförmig aus wie in der Grafik dar- 
gestellt. 

Art. 39 Abs. 1 lit b) DS-GVO ist zwar 
nicht annähernd so tief verschachtelt 
aber mit den richtigen Einrückungen 
wird er trotzdem deutlich klarer: 
„Überwachung der Einhaltung 
« dieser Verordnung, 

« anderer Datenschutzvorschriften der 
Union bzw. der Mitgliedstaaten sowie 
der Strategien des Verantwortlichen 
oder des Auftragsverarbeiters für 
den Schutz personenbezogener Daten 
einschließlich der Zuweisung von Zu- 
ständigkeiten, 

der Sensibilisierung und Schulung der 
an den Verarbeitungsvorgängen betei- 
ligten Mitarbeiter und 

« der diesbezüglichen Überprüfungen; “ 


Über allen Aufzählungspunkten steht 
also „Überwachung der Einhaltung“. 
Die dann folgenden Aufzählungspunkte 
gehören somit nicht zu den Aufgaben 
eines DSB, sondern nur die „Überwa- 
chung der Einhaltung“ dieser Punkte. 

Der Autor des o.g. Buches über die 
Umsetzung der DS-GVO antwortete 
dem Autor dieses DANA-Artikels, dass 
er den Satz bisher anders gelesen hatte: 
„Überwachung der Einhaltung dieser 
Verordnung, anderer Datenschutzvor- 
schriften der Union bzw. der Mitglied- 
staaten sowie der Strategien des Verant- 
wortlichen oder des Auftragsverarbei- 
ters für den Schutz personenbezogener 
Daten einschließlich 


ren. Darauf wird es in der Praxis wohl 
sowieso meistens hinaus laufen — egal, 
ob dies formal zu dessen Aufgaben 
gehört oder nicht. Der entscheidende 
Punkt ist, dass bei der alternativen Aus- 
legung des Satzes auch die „Zuweisung 
von Zuständigkeiten“ zu den Aufgaben 
eines DSB gehören würde. Das wäre je- 
doch ein vollkommen neues Verständnis 
der Rolle und der Stellung eines DSB, 
wovon in der öffentlichen Diskussion 
bisher nichts zu hören war. 

Trotzdem scheint die alternative In- 
terpretation dieses Satzes recht verbrei- 
tet zu sein. Der DANA-Autor konnte 
jedenfalls schon mehrere Datenschüt- 
zer von seiner Interpretation überzeu- 
gen, nachdem diese zuvor von der al- 
ternativen (zweiten) Variante fest über- 
zeugt waren. 

Auch die Info 6* der BfDI „Daten- 

schutz-Grundverordnung“ enthält auf 
Seite 25 eine nicht eindeutige Aufzäh- 
lung der Aufgaben: 
„Art. 39 DSGVO normiert die vom Da- 
tenschutzbeaufiragten wahrzunehmen- 
den Aufgaben — wie Unterrichtung und 
Beratung des Verantwortlichen oder des 
Auftragsverarbeiters sowie der Beschäf- 
tigten, Überwachung der Einhaltung 
der datenschutzrechtlichen Vorschrif- 
ten, Schulungen und Zusammenarbeit 
mit der Aufsichtsbehörde. “ 


Teil IV: Fazit 


Gesetze sind auch nur Software. 


1 Imbis 25. Mai 2018 noch gültgen BDSG 
(im folgenden Text „BDSG-alt‘“) heißt es 
„Bestellung“, in der Datenschutzgrund- 
verordnung und im BDSG neue Fassung 
(im folgenden Text „BDSG-neu““) heißt 
es „Benennung“. 


« der Zuweisung von Zuständigkeiten, J 
« der Sensibilisierung und Schulung der 
an den Verarbeitungsvorgängen betei- 
ligten Mitarbeiter und 
« der diesbezüglichen Überprüfungen;“ 3 


Siehe hierzu auch das „Berufliche Leit- 
bild der Datenschutzbeaufragten“ des 
Berufsverbands der Datenschutzbeauf- 
tragten Deutschlands (BvD) e.V. 


Denken Sie. 
wie tragisch acr Krioger, 
der die Sotschult, 
die den Sieg, 
den de Athener s= Merzthon, 
chwenhl sie in der Minderneit waren, 
nach Acer, 


Er ist bestellter Stellvertreter des 
Konzerndatenschutzbeaufragten eines 


as in groken Sorge, deutschen Unternehmens. 


vb es die Perser richt zeislüren würden, Der Buchautor ergänzte jedoch, dass 


scawebte, er sich nun der anderen Interpretation 4 Diese Diskussionspartner waren häufig 
Brian hatten, des Satzes anschließen und dies in neu- auch Juristen, die sich auf den Daten- 
rer eren Auflagen des Buches auch berück- schutz spezialisiert haben. 
sard. sichtigen würde. 5 Siehe hierzu speziell das elfte der fol- 


Der Punkt, um den es hier geht, ist genden Beispiele. 
nicht, ob es zu den Aufgaben eines DSB 9 


gehört, auch Schulungen durchzufüh- 


Grafik: Verschachtelter Satz — 
durch Einrückungen verständlich(er) dargestellt. 


Zum Beispiel, indem Konstrukte wie 
„GOTO“ oder undefinierte Variablen in 
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manchen Programmiersprachen nicht 
vorhanden/erlaubt sind. Erläuterungen 
dazu kommen in den folgenden Beispie- 
len. 


7 Es handelt sich hier um die sogenannte 
„herrschende Meinung‘ — siehe: https:// 
de.wikipedia.org/wiki/Herrschende _ 
Meinung 


8 So sehen es jedenfalls die DS-Aufsichts- 
behörden, und so beschreibt es auch Jan 
Philipp Albrecht in seinem Buch „Das 
neue Datenschutzrecht der EU“ Teil 3 
Rn. 5 und Teil 5 Rn. 22. Die Argumenta- 


tion dort ist jedoch auch etwas konstruiert. 


9 Hier wird bewusst auf den Begriff „über- 
mitteln“ verzichtet, weil es sich bei einer 
ADV gerade nicht um „Übermittlung“ 
von Daten handelt, wie im folgenden 
Text erläutert wird. 


10 Die Schweiz ist nicht Mitglied der 
EU und auch nicht des Europäischen 
Wirtschafsraums (EWR), aber sie ist 
anerkanntermaßen ein sicheres Drittland 
mit einem angemessenen Datenschutzni- 
veau. 


11 Das gilt unabhängig von allen Vorkeh- 
rungen zum Schutz der personenbe- 
zogenen Daten wie Standardvertrags- 
klauseln, EU-US Privacy Shield oder 
verbindlichen Unternehmensregelungen. 


12 Siehe: https://de.wikipedia.org/wiki/ 
Kopplung_(Softwareentwicklung) 


13 Siehe: https://de.wikipedia.org/wiki/ 
Koh%C3%A4sion_(Informatik) 


14 So kann man es in vielen Fachartikeln 
und Büchern nachlesen, und auch Vertre- 
ter von Aufsichtsbehörden haben diese 
Sichtweise bereits vertreten. 


15 Teilweise wird auch argumentiert, dass 
„Treu und Glauben“ nicht im Sinne 
des BGB zu interpretieren ist, sondern 
als „Angemessenheit im Sinne eines 
Ausschlusses unverhältnismäßiger 
Verarbeitungen“. Das mag sein, ändert 
aber nichts daran, dass in der deutschen 
Übersetzung „Treu und Glauben“ steht 
und nicht z. B. „Angemessenheit“ oder 
„Verhältnismäßigkeit‘ oder einfach nur 
„Fairness“. 


16 Es sind die Paragrafen: 157, 162, 242, 
257, 307, 320 und 815. 


17 Bzw. „Aufragsverarbeitung“ (AV) — wie 
es jetzt in der DS-GVO genannt wird. 


18 Siehe: https://de.wikipedia.org/wiki/ 
Toter_Code 


19 Siehe: https://de.wikipedia.org/wiki/ 
Pseudocode 


20 Typisch sind in Programmiersprachen 
die englischen Begriffe wie „if“, „then“ 
und „else“ statt „wenn“, „dann“ und 
„sonst“, was inhaltlich jedoch nichts 
ändert. 
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21 Vereinfacht ausgedrückt steht dort, dass 
Absatz 1 immer anzuwenden ist - egal 
ob die Daten automatisiert oder z. B. in 
Papierform vorliegen. 


22 Dieser Satz aus $ 27 Abs. 2 BDSG-alt 
bietet über das hier Beschriebene hinaus 
noch mehr Stoff siehe dazu Beispiel 8. 


23 Es handelt sich um Abschnitt 3 „Daten- 
verarbeitung nicht-Öffentlicher Stellen 
und öffentlich-rechtlicher Wettbewerbs- 
unternehmen“ bestehend aus den $$ 27 
bis 38a. 


24 Das besondere Gesetz verdrängt das 
allgemeine Gesetz. Siehe https:// 
de.wikipedia.org/wiki/Lex_specialis 


25 Siehe: https://de.wikipedia.org/wiki/ 
Spaghetticode 


26 Die möglicherweise korrektere Schreib- 
weise: „...eine nach Treu und Glauben 
angemessene Chance...“ 


27 Siehe: https://de.wikipedia.org/wiki/ 
Guinness-Buch_der_Rekorde 


28 Die Computer hätten mit mehreren hun- 
dert Seiten kein Problem. 


29 Siehe 6. Beispiel. 


30 Das Prinzip wird auch in der Informatik 
als „divide and conquer“ bzw. „teile und 
herrsche“ bezeichnet - siehe: https:// 
de.wikipedia.org/wiki/Teile_ und_ 
herrsche (Informatik) 


31 Wenn der zuständige Richter des Ar- 
beitsgerichts zufällig auch eine Informa- 
tikausbildung hätte, käme das Unterneh- 
men mit der Kündigung auch durch. 


32 Siehe: https://de.wikipedia.org/wiki/ 
Gendering 


WAS soll 
Pas Henn 


Bild: „BE 
AdobeStock 


33 Siehe: https://de.wikipedia.org/wiki/ 
Geschlechtergerechte_Sprache 


34 Die danach folgenden Absätze und auch 
die Paragrafen vor oder nach dem $ 23 
BDSG-alt sind ähnlich formuliert. 


35 Siehe: „Die Scheinwelt des Paradoxons“, 
von Patrick Hughes und George Brecht, 
Vieweg Verlag, ISBN 3 528 083794 


36 Vorstellen kann man sich auch die hier 
beschriebene nicht. 


37 DuD Datenschutz und Datensicherheit, 
Heft 9/2017, Artikel von Thilo Weichert: 
„‚Sensitive Daten‘ revisited“ 


38 Zu bedenken ist auch, dass der Art. 9 
DS-GVO trotzdem gültg bleibt. Der 
$ 22 BDSG-neu wirkt nur im Rahmen 
der Öffnungsklauseln. 


39 Neben der Prügelstrafe, die heute auf 
größeren Widerstand stoßen würde, gab 
es auch das mildere Mittel des Teerens 
und Federns. Bedenken dagegen gäbe es 
zwar sicher auch, aber eventuell käme 
eine Mehrheit zu dem Schluss, dass die 
Wiedereinführung dieses Brauches bes- 
ser wäre als gar nichts zu unternehmen. 


40 Die Erwähnung von „DANA“ ist hier 
wichtig, denn um den Autor des Artikels 
39 handelt es sich hier nicht. 


41 Titel: „EU-Datenschutz-Grundverord- 
nung im Unternehmen“, Autor: Tim 
Wybitul, Kap. IV, Rn. 343. 


42 Siehe auch die Erläuterung zu „Toter 
Code“ vor dem 6. Beispiel. 


43 Siehe: http://www.bfdi.bund.de/ 
SharedDocs/Publikationen/ 
Infobroschueren/INFO6.pdf? 


NEUE EU-RicHTLinE: 
PRIVATE VoRRATS- 
DATENSPEICHERUMG -TO-G0. 


ScHwArw£L— 
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Ute Bernhardt 


Wenn aus Spiel Wirklichkeit wird 


Potenziale kollaborativer Augmented Reality 


Pokemon — Bild: ClipDealer 


Virtuelle und „erweiterte Realität‘ 
— Virtual und Augmented Reality — mit 
Smartphones ist heute Alltag. Mit di- 
versen Datenbrillen sollen neue Anwen- 
dungen auf dem Markt etabliert werden. 
Diese Entwicklung erfordert es, sich mit 
den Potenzialen ihres kollaborativen 
Einsatzes näher zu beschäftigen. Wel- 
che Konsequenzen hat ihr Einsatz durch 
kriminelle Gruppen oder Terroristen für 
die zivile Sicherheit?! 


Augmented Reality auf dem Weg 
zum Massenmarkt 


Die um digitale Informationen „er- 
weiterte Realität“ — Augmented Reali- 
ty, kurz: AR - ist mittlerweile zu einem 
Massenmarkt mit Millionen Endkun- 
den geworden. Die Palette der AR- 
Brillen wächst ebenso kontinuierlich 
wie deren Leistungsfähigkeit. Mit Po- 
kemon Go war 2016 ein Computerspiel 
erfolgreich, bei dem Smartphones als 
AR-Werkzeug dienen, um Spielfiguren 
in einer realen Umgebung aufzufinden. 
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Bei derartigen AR-Spielen, perspek- 
tivisch aber vor allem für betriebliche 
Anwendungen liefern Datenbrillen 
eine möglichst realistische Kombinati- 
on von Umgebungsbild und virtuellen 
Daten und lassen die Hände frei für 
Bedienaufgaben. Für solche Datenbril- 
len gibt es bereits neben Einzel- auch 
AR-Gruppenspiele wie etwa „Life is 
Crime“, die daraus bestehen, in der ei- 
genen realen Umgebung bei einer vir- 
tuellen kriminellen Gang aktiv mitzu- 
wirken als —- so die Werbung — Weg, um 
das „Leben eines Kriminellen zu füh- 
ren, ohne dafür ins Gefängnis zu müs- 
sen“. Die deutsche Innenministerkon- 
ferenz hat beschlossen, Datenbrillen 
zu evaluieren. Insgesamt wurden für 
Datenbrillen schon viele Anwendungs- 
ideen entwickelt, einige davon gehen 
deutlich über Computerspiele und Un- 
terhaltung hinaus. So erprobt Volkswa- 
gen den Einsatz von Datenbrillen in der 
Logistik.* 

Schon bei Google Glass als erster 
breit beworbener vernetzten Daten- 


brille für Endkunden wurde bereits vor 
einigen Jahren eine Datenschutzdebatte 
angestoßen. Die Ausstattung mit Video- 
kamera, Mikrofon und der Möglichkeit 
sofortiger akustischer oder optischer 
Rückmeldungen, die in das Sehfeld 
projiziert werden, war diese Debatte 
konzentriert auf die durch unbemerkte 
und allgegenwärtige Aufzeichnung und 
Übermittlung von Live-Videos der Um- 
gebung des Brillenträgers geschaffenen 
Möglichkeiten zur individualisierten 
Videoüberwachung der vom Nutzer 
beobachteten Personen, dem Verlust 
von Kontrolle und Vertraulichkeit und 
durch die Speicherung und Analyse der 
Daten auf zentralen Servern zur weiter- 
gehenden Analyse der Daten und den 
damit drohenden Verlust von Autono- 
mie und Reputation‘. 

Diese auf den Datenschutz bezogene 
Diskussion kreist bisher darum, Da- 
tenbrillen als vernetzte Einzelsysteme° 
und das Verhältnis einzelner Nutzer zu 
ihren Gegenübern zu betrachten. Deut- 
lich gravierender können die Folgen 
sein, wenn eine Gruppe von Personen 
AR-Brillen nutzt. Die Betrachtung von 
Datenbrillen als Kollaborations- und 
Gruppenunterstützungssysteme, die 
daraus folgenden Potenziale und deren 
Folgen fand bisher jedoch kaum statt. In 
diesem Beitrag sollen daher spezifische 
Möglichkeiten und Konsequenzen eines 
Einsatzes durch Gruppen von kollabo- 
rierenden Nutzern betrachtet werden. 
Ausgangspunkt der weiteren Betrach- 
tung sollen nach einer kurzen Darstel- 
lung der Eigenschaften eine Beschrei- 
bung bereits dokumentierter Manipu- 
lationen der Systeme und die von den 
Herstellern nicht intendierten oder gar 
in Abrede gestellten Eigenschaften sein. 
Dies wird in Bezug gesetzt zu den Zie- 
len bei der ursprünglichen Entwicklung 
von Datenbrillen und schließlich wer- 
den die möglichen Folgen dieser doku- 
mentierten Eigenschaften betrachtet. 
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Datenbrillen und ihre Eigenschaften 


Die zahlreichen Typen von zu ir- 
gendeiner Zeit angekündigten® oder 
erhältlichen” Datenbrillen machen es 
wenig sinnvoll, ein einzelnes spezifi- 
sches System als Basis einer Analyse 
auszuwählen. Um als Augmented Re- 
ality-Werkzeug eingesetzt werden zu 
können, müssen alle Geräte Daten aus 
dem situativen Kontext des Benutzers in 
dessen Sichtlinie auf ein head-mounted 
display (HMD) projizieren. Üblich ist 
ein semi-transparentes Brillenglas, pa- 
tentiert ist bereits eine Kontaktlinse®. 
Um die Umwelt zu erfassen, verfügen 
sie über Kamera, zumeist auch Mikro- 
fon und Kopfhörer, sowie zunehmend 
auch über die Fähigkeit, mit mehreren 
Kameras 3D-Tiefendaten zu ermitteln. 
Die aktuelle Version der Microsoft Ho- 
lolens beispielsweise verfügt dazu über 
sechs Kameras. Die Videodaten werden 
mit Bildanalyse-Software auf spezifi- 
sche optische Marker hin analysiert. Es 
gibt auch Bilderkennungs-Werkzeuge, 
die eine Gesichtserkennung leisten oder 
Personen anhand von spezifischen Zu- 
satzmerkmalen erkennen.’ Für all dies 
verfügen Datenbrillen über eine mehr 
oder minder ausreichende Rechenka- 
pazität und Netzwerkanbindung.'? Ver- 
schiedene Systeme sind darauf ausge- 
legt, zusätzliche Sensoren einzubinden 
und zu vernetzen, wofür Programm- 
schnittstellen offengelegt werden, die 
es Entwicklern erlauben, die Datenbrille 
auf ihre eigene Weise zu nutzen. 

Jeder Träger einer Datenbrille erstellt 
also in aller Regel Audio- und Videoauf- 
nahmen der Umgebung, die der Kom- 
munikation und Interaktion mit Back- 
end-Systemen oder Support-Fachleuten 
dienen und dazu in Echtzeit an ein Re- 
chenzentrum übermittelt werden, wo die 
Bilder analysiert und zur Unterstützung 
oder Aufzeichnung genutzt werden. 
Wer die Bild- und Tonaufnahmen der 
Lebensumwelt des Trägers einer Da- 
tenbrille sieht, ist dessen Umgebung 
ebenso unklar wie die Dauer einer Auf- 
zeichnung und die Art der darauf durch- 
geführten Datenanalyse. 

Recht typisch sind die Ziele des ver- 
suchsweisen Einsatzes von AR-Brillen 
bei Kabinenpersonal der Air New Zea- 
land, um spezifische Daten sowie auf 
Basis einer Analyse von Gesichtszügen 
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den emotionalen Status der einzelner 
Passagiere einzublenden'!!. Die Daten- 
schutzprobleme dieser intensiven Um- 
gebungsüberwachung sind unmittelbar 
einsichtig und bereits intensiv diskutiert. 
Aus Datenschutzsicht lassen sich dabei 
vor allem die auf Handhabungsaufga- 
ben bezogenen Systeme in betrieblichen 
Anwendungen noch relativ gut fassen, 
wenn personenbezogene Daten zwar 
über die Handlungen der beteiligten Per- 
sonen erhoben werden, selten aber über 
unbeteiligte Dritte'?. 


Intendierte und nicht-intendierte 
Nutzung 


Für viele der nachfolgend beschrie- 
benen Möglichkeiten gibt es noch keine 
App zu kaufen. Nötig sind daher gewisse 
Fertigkeiten in der Programmierung von 
derartigen oder vergleichbaren Geräten. 
Einige der beschriebenen Funktionen 
wurden immerhin bereits in Forschungs- 
projekten realisiert. Bei der Bewertung 
des Anpassungsaufwands liefert Google 
Glass recht gute Vergleichsangaben. 

Um offenbar erwartete, von Goog- 
le nicht gewollte Anwendungen von 
Google Glass zu verhindern oder zu- 
mindest zu ahnden, sah Google in den 
Nutzungsbedingungen vor, dass das 
Unternehmen „sofern ein Google Gerät 
die Entwickler-Regelungen oder ande- 
re Übereinkünfte, Gesetze, Regularien 
oder Policies verletzt“, dieses „Glass- 
Gerät fernabschalten oder das Gerät 
aus seinen Servicesystemen entfernen 
kann”.'® Zu Kontrollzwecken und zur 
Umsetzung dieser Nutzungsbedingung 
hatte sich Google zudem das Recht vor- 
behalten, die Ortungsdaten des Nutzers 
sowie alle aufgenommenen Fotos, Vide- 
os und in das Display des Nutzers ein- 
gespielte Daten aufzuzeichnen und zu 
speichern.!* Damit ist Google in der Po- 
sition, auf Anforderung oder eigene Ini- 
tiative alle Daten auf unzulässige Hand- 
lungen zu scannen. In Googles Version 
war Google Glass damit als die zivile 
Version eines mächtigen Kommando- 
und Kontroll-Systems angelegt. 

Wie viele andere Datenbrillen arbei- 
tet Google Glass mit dem Android Be- 
triebssystem und wurde mit Hilfe gän- 
giger Werkzeuge schon wenige Tage 
nach Ausgabe der ersten Prototypen an 
Entwickler gehackt. Sie hatten danach 


vollen Zugang zu allen Komponenten 
des Systems.'° Google selbst wollte 
keine Gesichtserkennungs-Software 
auf den Markt bringen. Dafür kamen 
Apps alternativer Anbieter in Umlauf, 
deren Installation teilweise das Hacken 
der Google-Datenbrille voraussetze.'® 
Googles Überwachungs-Werkzeuge lie- 
Ben sich damit umgehen. 

Solche Sicherheitsprobleme sind nicht 
spezifisch für Google Glass, da alle Da- 
tenbrillen nur eine begrenzte Rechenka- 
pazität haben. Die Microsoft Hololens 
etwa arbeitet mit dem Betriebssystem 
Windows 10 und kann mit Hilfe der 
dafür gefundenen Sicherheitslücken 
manipuliert werden. Bislang hat kein 
System mit vergleichbaren Ressourcen 
gezielten Angriffen dauerhaft widerste- 
hen können. Es ist aller Erfahrung nach 
also davon auszugehen, dass jedes Da- 
tenbrillen-System für Endkunden nach 
überschaubarer Zeit kompromittiert 
wird und seine Technik nach Belieben 
manipuliert werden kann. 


Kollaborative Datenbrillen-Systeme 
und ihre Urspünge 


Über die bisher diskutierten Szenari- 
en hinaus gehen Anwendungsfelder, bei 
denen es um die Interaktion mit Dritten 
geht, deren Verhalten mit Datenbrillen 
beobachtet wird'”. Noch weiter gehen 
die Konsequenzen, wenn Datenbrillen 
als Mittel der Gruppenkoordination ge- 
gen unbeteiligte Dritte eingesetzt wer- 
den, wie es Google schon zu Beginn in 
seiner Werbung für Google Glass skiz- 
ziert hat'®. Extreme dieser Möglichkei- 
ten sind ein Google Glass ego-shooter'” 
und vergleichbare Produkte wie „Robo- 
Raid“ für die Microsoft Hololens”. Sie 
repräsentieren zugleich eine Rückkehr 
der Datenbrillen zu den historischen Ur- 
sprüngen aller AR-Systeme mit HMD, 
auf die im Folgenden kurz eingegangen 
werden soll. 

Die U.S. Army führte 1993 verschie- 
dene Manöver mit Bodentruppen durch, 
um neu entwickelte Informations- und 
Kommunikationstechnik im Einsatz zu 
erproben. In der so genannten „Soldier 
Integrated Protective Ensemble (SIPE) 
Advanced Technology Demonstration 
(ATD)“ überfiel eine sehr kleine Grup- 
pe von Soldaten erfolgreich eine weit 
größere Einheit und eroberte verschie- 
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dene Positionen im offenen Feld ebenso 
wie im Häuserkampf. Unter herkömm- 
lichen militärischen Bedingungen und 
gleichwertiger Ausstattung wird davon 
ausgegangen, dass ein erfolgreicherer 
Angreifer die dreifache Personalstärke 
benötigt als der Verteidiger. Die Vorläu- 
fer von Datenbrillen stellten dieses Ver- 
hältnis auf den Kopf: Der unterlegene 
Verteidiger war dreimal stärker als der 
Angreifer. 

Möglich machten dieses umgekehrte 
Kräfteverhältnis nicht Techniken wie die 
einzeln schon lange genutzten Laser- und 
Infrarot-Sensoren sowie Audio-Verstär- 
kung und Richtmikrofone. Entscheidend 
war die Vernetzung von Soldaten und 
Sensoren in einem kollaborativen AR- 
System. Die Angreifer konnten durch 
den Sensor-Datenaustausch die Gegner 
mit passiver Datenerhebung triangulieren 
und auf einer gemeinsamen Gefechts- 
feldkarte markieren. Diese Karte wurde 
mit anderen Daten in die Displays ein- 
gespielt. Mit vernetzten Videokameras 
wurde unbemerkt um die Ecke gespäht 
und die Bilder an alle Gruppenmitglie- 
der übertragen. Vor dem Überfall liefer- 
ten die Daten in den AR-Displays einen 
vollständigen Überblick über den Gegner 
und unterstützten einen hoch koordinier- 
ten Ablauf. Die gleichzeitige Datenüber- 
mittlung an einen zentralen Befehlshaber 
erlaubte es, die Aktion in Echtzeit zu ver- 
folgen und mit zusätzlichen Informatio- 
nen zu unterstützen.?! 

Die umfassende Vernetzung zwischen 
Soldaten und Kommandeuren erwies 
sich als äußerst wirksamer „Force Mul- 
tiplier“. Aus den bis in die 1980er Jahre 
zurück reichenden Ursprüngen” wurde 
ein technologisches Entwicklungs- und 
Einsatzziel verschiedener Armeen, allen 
voran der USA.” Sie bauten mit einem 
einheitlichen Kommunikationssystem 
einen Datenverbund auf*, mit dem Au- 
dio- und Videodaten in Echtzeit zwi- 
schen Kampfeinheiten und Komman- 
dozentralen austauscht werden. Die 
Bilder aus dem Lagezentrum in Weißen 
Haus bei der Erstürmung des Verstecks 
von Osama bin Laden in Pakistan zeig- 
ten den Einsatz vernetzter Spezialein- 
heiten und deren Steuerung. 

Der Schritt zur alltäglichen militäri- 
schen Nutzung von Datenbrillen steht al- 
lerdings noch aus; die Systeme sind noch 
nicht leistungsfähig, robust und genau 
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genug. Derzeit werden diverse Systeme 
von verschieden Armeen erprobt.” So 
ist die Bundeswehr von der Konzepti- 
onsphase im Programm „‚Infanterist der 
Zukunft“”’ mittlerweile zur Kampferpro- 
bung übergegangen. Das Gladius-System 
für AR-Anwendungen mit einem HMD 
wurde 2013 an das Heer für den Einsatz 
in Afghanistan ausgeliefert.”® Die Einsät- 
ze sind jedoch auf spezielle Aktionen von 
Spezialeinheiten oder Geheimdiensten 
beschränkt.” Trotz dieser Einschränkun- 
gen wurde der Markt für AR-Systeme in 
Kampfeinsätzen auf 8,2 Mrd. Dollar für 
2016 geschätzt.’ 


Von der militärischen zur zivilen 
Nutzung 


Nach der Einführung von Google 
Glass interessierten sich 2014 die Poli- 
zeibehörden New Yorks’! und Dubais’? 
für die Nutzungspotenziale. Berich- 
te über Ergebnisse liegen nicht vor. In 
Deutschland beschäftigte sich die In- 
nenministerkonferenz im Juni 2016 da- 
mit, „aus Streifenbeamten vernetzte Po- 
lizisten‘“ zu machen und „Datenbrillen, 
um Fahndungsfotos oder Einsatzbefehle 
direkt an jeden einzelnen Polizisten zu 
verschicken, schon bald zur Standard- 
ausrüstung der Beamten“ zu machen.” 

Was ist nun zu erwarten, wenn Da- 
tenbrillen außerhalb von militärischen 
Kampfzonen im Zivilleben eingesetzt 
werden? Und — bisher kaum beachtet 
— was geschieht, wenn Datenbrillen bei 
kriminellen oder terroristischen Aktivi- 
täten Verwendung finden? Drei einfache 
Beispiele mit anwachsendem Gefah- 
renpotenzial sollen dazu dienen, diese 
Möglichkeiten auszuloten. 

Alle beschriebenen Eigenschaften 
von kollaborierenden Datenbrillen-Sys- 
temen sind zum Teil bereits im Rahmen 
heutiger Systeme verfügbar oder so in 
Reichweite, dass es nicht mehr als ei- 
nes Jahres bedürfte, sie zu entwickeln. 
Noch sind solche Anwendungen aber 
nicht bekannt. Damit stellt sich im An- 
schluss die Frage, welche Bedingungen, 
Szenarien und Interessen für eine solche 
Nutzung ausschlaggebend sein könnten. 


Überwachung und Verfolgung 


Eine einfache und vielfach für AR- 
Brillen gezeigte kollaborative Anwen- 


dung ist die Navigation. Wenn eine 
Navigation per Karte nicht zum Ziel 
führt, wird ein Nutzer von einer ande- 
ren, ortskundigen Person anhand der Vi- 
deoaufnahmen der Datenbrille zum Ziel 
gelenkt — entweder durch gesprochene 
Richtungsangaben oder durch einge- 
spiegelte Richtungspfeile. Ersetzt man 
nun ein geografisches Ziel mit einer Per- 
son, die im Sichtfeld der Datenbrille — 
möglicherweise automatisch — erkannt, 
getaggt und hervorgehoben wird, so ist 
unmittelbar ersichtlich, dass vernetzte 
Datenbrillen ein erhebliches Potenzial 
zur Erleichterung bei der Verfolgung 
von Personen auch in sehr belebter Um- 
gebung haben. 

Erweitert man im nächsten Schritt ei- 
nen solchen einfachen Datenaustausch 
um die bereits in den 1990er Jahren er- 
probten Mittel zur Distanzmessung und 
die passive Triangulation durch zwei 
und mehr kollaborierende Nutzer von 
AR-Systemen und ergänzt das durch die 
mit heutiger Technik mögliche automa- 
tische Erkennung und Markierung cha- 
rakteristischer Features eines Verfolgten 
aus Videodaten, so sind erhebliche Er- 
leichterungen bei der Verfolgung zu er- 
zielen. Dass die Kommunikationsunter- 
stützung bei Datenbrillen so unauffällig 
wie möglich gestaltet ist, vereinfacht die 
Koordination der Verfolger und verrin- 
gert die Gefahr, dass Gruppen heimli- 
cher Beobachter erkannt werden. 

Mit einer weiteren Sensorintegration 
lässt sich die Leistung eines AR-Systems 
noch steigern. In Militärmanövern wurde 
schon gezeigt, dass sich beliebige Sen- 
soren mit AR-Systemen koppeln lassen. 
Videokameras ließen sich ersetzen oder 
ergänzen durch Infrarot- und Nachtsicht- 
Systeme. Das ist eine attraktive Eigen- 
schaft für diverse Outdoor-Spiele. Zu- 
gleich ließe sich aber auf diese Weise die 
von den Sicherheitsbehörden genannte 
Zahl von bis zu 35 Beamten für eine 
Observation?* mit weit weniger Personal 
durchführen. Auf gleiche Weise könnten 
aber kriminelle oder terroristische Grup- 
pen ein Opfer verfolgen. 

Nach Terroranschlägen mit polizeilich 
bekannten Tätern wurde in Deutschland 
und in Frankreich darüber debattiert, 
dass eine Observation durch Sicher- 
heitsbehörden so viele Ressourcen bin- 
det, dass sie nur in ausgesuchten und 
dringenden Fällen infrage kommt. Der 
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ausufernde Einsatz „stiller SMS“ zur 
Ermittlung des Standorts von Verdäch- 
tigen? dokumentiert ein hohes Interesse 
am Einsatz technischer Hilfsmittel. Da- 
tenbrillen können den Aufwand für eine 
Observation eindeutig reduzieren. Noch 
einfacher wird es, wenn Umgebungs- 
intelligenz in Form von Videokameras 
für die Personenerkennung oder mobi- 
ler „IMSI-Catcher‘° es erlaubt, Daten 
mit Observationsteams austauschen, die 
über Datenbrillen verfügen — wie schon 
in Militärmanövern in den 1990er Jahren 
beschrieben. Diverse Analysen von Per- 
sonenflüssen bei Großveranstaltungen?’ 
auch anhand von Handy-Kennungen 
zeigen die enormen Potenziale: Auch in 
großen Menschenmengen lässt sich mit 
der richtigen Technik zuverlässig obser- 
vieren. Entsprechende AR-Technologie 
dürfte daher mit hoher Wahrscheinlich- 
keit in die Anforderungen an Entwick- 
lung und Beschaffung von Technik für 
die Sicherheitsbehörden in den nächsten 
Jahren einfließen. 

Wenn eine Observation von Einzel- 
personen nicht länger einen derart hohen 
Personaleinsatz erforderlich macht und 
da die Technologie heute bereits ver- 
fügbar ist, um eine begrenzte Zahl von 
Personen für unterschiedliche Bedarfe 
parallel in einer Umgebung zu verfol- 
gen, können Oberservationstechniken 
von einer Einzelbeobachtung zu einem 
System der Zonen-Observation gegen- 
über definierten Personen umgebaut 
werden. Eine deutlich kleinere Zahl von 
Sicherheitskräften mit Datenbrillen und 
Sensoren könnte in einer Zone mehrere 
markierte Verdächtige zugleich obser- 
vieren, das über verschiedene Zonen 
hinweg durchführen und dabei aufge- 
nommenes Videomaterial als Beweis- 
mittel nutzen. 

Der polizeiliche Nutzen einer solchen 
Observation lässt sich bereits einfach er- 
kennen an der Observation einer Gruppe 
von Taschendieben. Die Taschendie- 
be hätten allerdings denselben Nutzen, 
wenn sie gemeinsam mit AR-Hilfe auf 
Beutejagd gehen. 


Diebstahl und Einbruch 
Auf dieselbe Weise lassen sich Werk- 
zeuge zum Orten und Anzeigen von 


WLAN-Emittern, Smartphones oder 
anderen funkgestützten Systemen ein- 
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binden, wofür je nach Emitter-Typ Mo- 
difikationen der heute in Smartphones 
vorhandenen Ortungswerkzeuge gegen 
Diebstahl ausreichen. Bisweilen können 
komplexere Zusatzinstallationen®® erfor- 
derlich sein. 

Mit derselben Kombination von Sen- 
soren können auch Einbrecher WLAN- 
Emitter taggen und auf diese Weise 
versteckte funkbasierte Sensoren und 
Einbruchserkennungstechnik finden und 
markieren. Anfällig sind hier insbeson- 
dere WLAN-Überwachungskameras, 
deren Standort sich peilen lässt. Mit ei- 
nem kollaborativen AR-System können 
die ermittelten Daten für eine Internet- 
Recherche oder den Rat von Experten 
irgendwo auf der Welt genutzt werden, 
um sich Wege zur Umgehung dieser 
Systeme vorschlagen zu lassen — wenn 
die Kameras nicht ohnehin offen im 
Internet zu finden sind’”. Mit Datenbril- 
len und solcher Hilfe lassen sich auch 
untrainierte Einbrecher, aus der Ferne 
unterstützt, auf sicherheitstechnisch gut 
geschützte Objekte ansetzen. Ein Exper- 
te könnte einer größeren Bande für einen 
gleichzeitig verübten großen Raubzug 
zur Verfügung stehen und wäre keinem 
Verhaftungsrisiko ausgesetzt. 


Organisiertes Verbrechen und Terro- 
rismus 


Nicht nur in Hollywood-Filmen wer- 
den die Abläufe bei Raubüberfällen auf 
hochwertige Ziele geplant und geübt. 
Auch terroristische Anschläge werden 
detailliert und über längere Zeit geplant 
und vorbereitet. 

Unaufdringliche Datenbrillen erleich- 
tern und verbessern die Koordination 
von Überfällen — insbesondere bei kom- 
plexen Abläufen. Mit solchen AR-Werk- 
zeugen lassen sich das Timing perfekti- 
onieren und Ablenkungsmanöver effek- 
tiver einsetzen. Datenbrillen werden als 
Werkzeuge explizit dazu entwickelt und 
genutzt, Handlungen an realen Orten 
virtuell durchzuspielen oder die Realität 
in einem Übungsgelände nachzubilden. 
Mit der Übung an Originalschauplätzen 
mit unauffälligen Datenbrillen lässt sich 
ein risikoreicher Raubüberfall besser 
planen und umsetzen. 

Terrorüberfälle größerer Gruppen von 
Angreifern gab es auf Hotels, Shopping 
Center, Flughäfen und andere Orte wie 


in Mumbai, Nairobi“, Paris, Brüssel und 
natürlich auf viele Ziele im Irak und Af- 
ghanistan. Selbst beim Amoklauf eines 
Einzeltäters in München 2016 spielte 
dessen Chat-Kommunikation mit sich 
selbst eine Rolle bei seiner Selbstdar- 
stellung und der Bewertung durch die 
Sicherheitsbehörden. Insbesondere die 
IS-Terrorgruppe experimentiert schon 
länger mit ferngesteuerten oder durch 
IT-Einsatz automatisierten Fahrzeugen, 
Kanonen und anderen Angriffswerkzeu- 
gen.*' Indizien wie diese belegen, dass 
Gewalttäter und insbesondere Terror- 
gruppen hinreichende IT-Kenntnisse 
haben, die auch beim Einsatz von AR- 
Werkzeugen erforderlich sind. 

Wie schon in Militärmanövern der 
1990er Jahre demonstriert, könnten 
koordiniert vorgehende Terrorgruppen 
mit Datenbrillen eine gemeinsame La- 
gekenntnis zu Lasten der angegriffenen 
Zivilbevölkerung ausspielen. Auch bei 
terroristischen Angriffen ließe sich die 
Abstimmung von Angriffsabläufen ver- 
bessern durch die gemeinsame Kenntnis 
über Standorte und das Vorgehen der 
Gruppenmitglieder anhand des visuellen 
und akustischen Austauschs in Echtzeit. 

So könnte eine Terrorgruppe bei- 
spielsweise zu Beginn eines Angriffs 
die Sicherheitskontrollen an verschie- 
denen Stellen simultan und koordiniert 
angreifen, bevor Alarm ausgelöst wird. 
Als zweiten Schritt könnte eine solche 
Gruppe mehrere Ziele einnehmen und 
abriegeln, bevor Sicherheitskräfte mo- 
bilisiert werden können. Jeder kritische 
Zugangspunkt ließe sich unter kollabo- 
rativer Kontrolle halten — möglicherwei- 
se sogar unter Einbeziehung vorhande- 
ner Sensoren oder Kameras in das Kom- 
munikationsnetzwerk der Angreifer. Im 
dritten Schritt könnte eine solche Grup- 
pe Geiseln im Gebäude oder Gelände 
ohne Kontrollverlust so verteilen, dass 
eine Geiselbefreiung durch Sicherheits- 
kräfte wesentlich risikoreicher würde. 
Im Fall einer Befreiungsaktion würde 
die AR-Vernetzung einer Terrorgruppe 
den Überraschungseffekt verringern, 
weil die AR-Systeme selbst von getö- 
teten Terroristen den Mitgliedern ihres 
Datennetzwerks weiterhin die Video- 
aufnahmen des ablaufenden Angriffsge- 
schehens übermitteln können. Zu allem 
Überfluss ließen sich die Videobilder 
der Datenbrillen vom Tatort auch noch 
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als live-stream zu Propagandazwecken 
verwenden. 


Bewertung 


Einen solchen Terrorüberfall mit Un- 
terstützung durch Datenbrillen mag 
man sich nicht ansatzweise vorstellen. 
Schutz und Sicherheit setzen aber vo- 
raus, neue Szenarien durchzuspielen. 
Die im vorherigen Abschnitt skizzierten 
Beispiele sind ohne allzu viel Phantasie 
noch deutlich ausbaufähig. Deswegen 
ist es durchaus erstaunlich, dass die 
einfache Übertragung der seit Jahren 
vorliegenden Erfahrungen aus militä- 
rischen Manövern in die Gegenwart 
von leicht verfügbarer, kollaborativer 
Datenbrillen-Technologie bisher nicht 
unter dem Blickwinkel der zivilen Si- 
cherheit gesehen wurde. Mittlerweile ist 
die Beschaffung und Adaption der nöti- 
gen AR-Technik deutlich einfacher zu 
bewerkstelligen als die Beschaffung von 
Waffen, Sprengstoff und anderer Mili- 
tärausrüstung. Es ist daher leider davon 
auszugehen, dass wir in den nächsten 
Jahren Szenarien erleben werden, in 
denen bewaffnete Täter zusätzlich mit 
Datenbrillen ausgestattet sind, durch 
die sich eine neue Art von Datenbrillen- 
Überfällen oder gar Datenbrillen-Ter- 
rorismus entwickeln kann. Wir sollten 
diese Möglichkeiten nicht ignorieren, 
sondern heute darüber nachdenken. 

Die kollaborativen Einsatzpotenziale 
von Datenbrillen bergen große Risiken, 
für illegale Zwecke genutzt zu werden. 
Die Experimente verschiedener Straf- 
verfolgungsbehörden haben bereits ge- 
zeigt, dass diese ihrerseits neue Einsatz- 
szenarien sehen und die Möglichkeiten 
dieser Technik in der eigenen Praxis er- 
proben wollen. Dabei ist in Erinnerung 
zu rufen, dass HMDs als nicht-zivile 
Versionen von Datenbrillen heute schon 
von militärischen Spezialeinheiten ope- 
rativ genutzt werden auch in der Be- 
kämpfung ziviler Unruhen. Lediglich 
der Einsatz marktgängiger, unauffälli- 
ger Modelle zu Überwachungszwecken 
wäre eine wirkliche Neuerung. Einige 
der möglichen Konsequenzen sind un- 
schwer abzusehen. Andere erfordern 
grundsätzlichere Überlegungen. 

Sollte es dazu kommen, dass Daten- 
brillen mit ihrer Übermittlung von Vi- 
deodaten in Echtzeit an zentrale Server 
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zu einer breiteren Nutzung kommen, 
werden die Sicherheitsbehörden wohl 
versuchen, auf diese Daten Zugriff zu 
erlangen mit dem Argument, dass Nut- 
zer der Datenbrillen unwissentlich Auf- 
nahmen eines für die Behörden wichti- 
gen Geschehens machen könnten. Die 
Durchsuchung des zentral gesammelten 
Videomaterials von Datenbrillen im 
Hinblick auf Daten zu einem Tatort oder 
Tathergang entweder ex post durch Be- 
schlagnahme oder bei Verdacht in Echt- 
zeit von allen dort vorhandenen Nutzern 
dürfte sich zu einer vergleichbar einge- 
setzten Methode entwickeln wie heute 
die Auswertung von Überwachungska- 
meras bzw. Handy-Videos. 

Verschiedene der zuvor beschriebe- 
nen illegalen Nutzungspotenziale dürf- 
ten mit einer Manipulation insbesondere 
auch der gemeinsam genutzten Kommu- 
nikationsverbindungen einhergehen, um 
durch eigene Kommunikationskanäle 
die bei einigen Modellen vorgesehe- 
ne zentrale Datensammlung zu umge- 
hen. Für die Sicherheitsbehörden wird 
daraus die Forderung erwachsen, die 
lokale Kommunikation von Tätergrup- 
pen — etwa per WLAN - am Ort eines 
Geschehens analysieren, überwachen 
oder stören zu können. Nach IMSI-Cat- 
chern und anderem Gerät wird daher der 
Wunsch nach weiterer Überwachungs- 
technik laut werden. 

Grundsätzlich anders fällt die Be- 
trachtung aus, wenn es um die Frage 
geht, ob und wie Datenbrillen gegen 
eine Nutzung für illegale Aktivitäten 
gesichert werden können, die mit gro- 
ßen Gefahren für die Allgemeinheit, 
aber auch für die Sicherheitsbehörden 
verbunden sind. Hier fällt eine Antwort 
ziemlich ernüchternd aus. Schon heu- 
te ist zu viel Software im Umlauf, die 
für Einzelnutzer und Nutzergruppen die 
Grundlagen für eine Weiterentwicklung 
zur Realisierung der vorab beschriebe- 
nen kollaborativen AR-Anwendungen 
schafft. Diese Entwicklung ist nicht 
mehr einzudämmen. 

Was das Verhindern der Anbindung 
externer Sensorik an Datenbrillen und 
das AR-typische Taggen von Elementen 
im Sichtfeld des Nutzers angeht, so ist 
auch das nur eine Frage der softwaresei- 
tigen Datenintegration. Da es regelmä- 
Big um nur wenige Daten geht, ist der 
Aufwand überschaubar. 


Datenbrillen, die mit einem der gän- 
gigen Betriebssysteme für den Mas- 
senmarkt angeboten werden, sind nicht 
wirksam gegen Manipulation und Miss- 
brauch zu sichern. Die Hersteller müss- 
ten schon an verschiedenen Punkten 
ihrer Systeme Mechanismen vorsehen, 
die bei Manipulationen die Datenbrille 
zur Selbstzerstörung bringen oder eine 
Deaktivierung von außen erlauben. Wie 
leicht letzteres umgangen werden kann, 
hat schon Google Glass gezeigt. Auch 
hierbei lässt sich daher letztlich nur an 
der konkreten Implementierung ermes- 
sen, ob solche Maßnahmen ausreichen. 


Fazit 


Gegen die meisten und vor allem die 
extremsten der beschriebenen illegalen 
Nutzungsszenarien von Datenbrillen 
kommen nur sehr wenige technische Mit- 
tel infrage. Ideen zur unbegrenzten Da- 
tenerhebung wiederum würden massive 
Grundrechtseingriffe für die Allgemein- 
heit ohne erkennbaren Nutzen bedeuten. 

Zur Prävention von erwartbarem 
Missbrauch notwendig wäre vielmehr 
ein code of conduct von Selbstbeschrän- 
kungsregeln der Anbieter und Soft- 
ware-Entwickler. Hardwareseitig sollte 
ernsthaft über Manipulationshemm- 
nisse nachgedacht und entsprechende 
Erschwernisse eingebaut werden. Soft- 
wareseitig sollten solche kollaborative 
Spiele und Anwendungen gar nicht erst 
auf den Markt gebracht werden, die sich 
ohne größere Veränderungen für illegale 
Einsatzszenarien nutzen lassen und so 
selbst Tätern ohne vorheriges Training 
die erheblichen Gefährdungsmöglich- 
keiten einer kollaborativen Datenbrill- 
ennutzung eröffnen. Es ist fraglich, ob 
für eine solche Bewertung die bisheri- 
gen Prüfverfahren der Altersfreigabe für 
Computerspiele ausreichend sind. 

Datenbrillen weisen ein erhebliches 
Potenzial zur Überwachung des Alltags 
Unboeteiligter auf, das für die Sicherheits- 
behörden von großem Interesse ist. Mi- 
litärische HMDs werden bereits operativ 
genutzt und dürften zukünftig auch bei 
Sondereinheiten der Polizei Verwendung 
finden. Unauffällige zivile Datenbrillen 
eröffnen den Sicherheitsbehörden er- 
hebliche neue Perspektiven für die Ob- 
servation und Überwachung. Das sind 
nur bedingt positive Aussichten, die aber 
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prinzipiell regelbar und in bestimmten 
Konstellationen auch nutzbringend sind. 

Nicht regelbar ist der Einsatz von 
Datenbrillen für kriminelle und terro- 
ristische Zwecke. Es ist daher umso er- 
staunlicher, dass diesen Fragen bisher so 
gut wie nirgendwo nachgegangen wurde 
und sie für Entwickler und Anbieter kei- 
ne Rolle zu spielen scheinen. 

Bevor wir die ersten Datenbrillen- 
Terroristen erleben müssen, wäre es 
dringend geboten, daran zu arbeiten, 
wie diese Technik eingegrenzt werden 
kann, oder die missbräuchlich nutzbare 
Arbeit an solchen Geräten aus ethischer 
Verantwortung heraus einzustellen. Si- 
cherheitsbehörden und Gesetzgeber 
sind aufgefordert, sich unter operativen 
und regulatorischen Gesichtspunkten 
mit den Missbrauchspotenzialen von 
Datenbrillen auseinanderzusetzen. Die 
Hersteller schließlich sollten damit kon- 
frontiert werden, dass sie erhebliche Ri- 
siken gedankenlos in Kauf nehmen. 

Es ist Zeit für eine breite Debatte über 
die Implikationen eines kollaborativen 
Einsatzes von Datenbrillen und deren 
Missbrauch für unsere Gesellschaft, unse- 
re Sicherheit und über mögliche Lösungs- 
ansätze — bevor uns die Wirklichkeit äu- 
Berst schmerzhafte Lektionen lehrt. 
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Heiko Maas 


Zusammenleben in der digitalen Gesellschaft 


Teilhabe ermöglichen, Sicherheit gewährleisten, Freiheit bewahren 


Auszüge aus der Rede des Bundesministers der Justiz und für Verbraucherschutz bei der Konferenz „Digitales Leben -Vernetzt. 
Vermessen. Verkauft? #Werte #Algorithmen #IoT“ am 3. Juli 2017 in Berlin 


Einleitung 


Vor fast 150 Jahren wurde hier das 
„Reichspostministerium“ gegründet. 
Briefkästen, Telefone und Postkutschen 
sind die Exponate der Kommunikation 
in der Vergangenheit. Ich frage mich, wie 
die Kuratoren es dereinst schaffen wer- 
den, dem neugierigen Besucher einen 
Algorithmus zu präsentieren. Dafür wird 
man Wege und Möglichkeiten finden. 

Im digitalen Zeitalter ist Kommuni- 
kation zu einem Phänomen geworden, 
das kaum noch sichtbar und greifbar ist. 
Trotzdem bestimmt die digitale Kom- 
munikation immer mehr unseren kom- 
pletten Alltag — im Beruf, im Verkehr, 
im Privatleben und auch in den eigenen 
vier Wänden. Nicht nur Ausstellungs- 
macher stehen vor dem Problem, digi- 
tale Phänomene sichtbar und greifbar zu 
machen, sondern wir alle, die wir uns 
damit befassen. Mangelnde Transparenz 
ist ein Problem für uns alle. Wir wissen 
zwar, dass im Internet unzählige persön- 
liche Daten transportiert werden, dass 
man sie vernetzen und auswerten kann, 
aber die Einzelheiten bleiben oft völlig 
unsichtbar. 

— Wer weiß schon, welche Daten sein 
eigenes Smartphone täglich mit wem 
austauscht? 

— Wer rechnet damit, dass selbst der 
Rhythmus, mit dem wir eine Tastatur 
bedienen, Auskunft geben kann, in 
welcher Konsumlaune wir sind? 

— Und wer ahnt schon, dass die Fotos, 
die man auf Instagram veröffentlicht, 
zur Kalkulation unseres Gemütszu- 
standes ausgewertet werden können? 


Wenn Daten, die aus unserem Verhal- 
ten gewonnen werden, so weitreichende 
Schlussfolgerungen erlauben, wäre es 
sicherlich sinnvoll, Licht in dieses digi- 
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tale Dunkel bringen. Ich will im Folgen- 

den auf drei Handlungsfelder eingehen, 

die wir in der Öffentlichkeit und in der 

Politik beackern müssen, wenn das Zu- 

sammenleben in der digitalen Gesell- 

schaft ein gedeihliches sein soll. Es geht 
darum, die Werte, die unser Zusammen- 
leben in der analogen Welt prägen, auch 

im digitalen Zeitalter zu wahren. Es geht 

um nicht mehr, aber auch nicht weniger 

als Teilhabe, Freiheit und Sicherheit. 

— Wir brauchen eine gleichberechtigte 
Teilhabe am gesellschaftlichen Leben 
— ohne Diskriminierungen, sondern 
mit gleichen Chancen für alle. 

— Wir müssen die Selbstbestimmung 
und Handlungsfreiheit des Einzelnen 
bewahren; Menschen dürfen nicht 
von Technik beherrscht werden. 

— Und wir müssen dafür Sorge tragen, 
dass die Verantwortlichkeiten für die 
Sicherheit im Netz klarer werden und 
die Durchsetzung des Rechts auch im 
Internet gewährleistet ist. 


„On-Life“ 


Wir alle sind heute vernetzt. Wir alle 
werden in der digitalen Welt vermessen. 
Und wir alle müssen aufpassen, dass 
wir bei allen großartigen Chancen, die 
das Internet bietet, nicht am Ende genau 
die Werte verkaufen und opfern, die für 
eine freiheitliche und demokratische 
Gesellschaft essenziell sind. Das funda- 
mental Neue an dieser vierten industri- 
ellen Revolution ist, dass bisher gültige 
Grenzen zwischen privat und öffentlich, 
zwischen „mein“ und „dein“, ja selbst 
zwischen Mensch und Maschine ver- 
schwimmen. 

Die immer stärkere digitale Vernet- 
zung führt dazu, dass am Ende alles mit 
allem kommuniziert und man die Welt 
nicht mehr in „online“ und „offline“ 


aufteilen kann. Schon eine Autofahrt 
mit dem Navigationssystem oder ein 
Waldspaziergang mit Smartphone am 
Ohr macht diese Verflechtung deutlich. 
Der Philosoph Luciano Floridi, der an 
der Universität Oxford lehrt und arbei- 
tet, nennt diese digitale Lebensform 
„On-life“. „Onlife“ ist eine Sphäre, in 
der sowohl Menschen mit Maschinen, 
Maschinen mit Maschinen und natürlich 
auch noch Menschen mit Menschen in- 
teragieren. 

Es geht nicht darum, diese Entwick- 
lung zu beklagen — ganz im Gegenteil. 
Es geht auch nicht um Kultur-Pessimis- 
mus oder Technik-Feindlichkeit. Ent- 
scheidend ist vielmehr, dass unsere Ge- 
sellschaft diskutiert, wie wir Werte und 
Regeln, die für unser Zusammenleben 
wichtig sind, auch in der „Onlife“-Welt 
erhalten. 


Teilhabe 


Zunächst zur Frage der gesellschaft- 
lichen Teilhabe: Wie kann auch in der 
digitalen Welt eine gleichberechtigte 
Teilhabe am gesellschaftlichen Leben 
ohne Diskriminierungen, sondern mit 
gleichen Chancen für alle ermöglicht 
werden? Wie kann sich der Sozialstaat 
davor schützen, dass die Schwächeren 
in unserer Gesellschaft bei der Digitali- 
sierung auf der Strecke bleiben und von 
gesellschaftlicher Teilhabe ausgeschlos- 
sen werden? 

Wir produzieren täglich unzählige 
Daten und rund um die Uhr hinterlassen 
wir überall Datenspuren. Die Menge der 
Daten ist so groß wie nie Zuvor, es wer- 
den in der Zukunft auch noch mehr wer- 
den. Wenn diese Big Data digital ausge- 
wertet werden, kann es schnell Gewin- 
ner und Verlierer geben. Wenn soziale 
oder wirtschaftliche Scoring-Verfahren 
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eingesetzt werden, kann die gefährliche 
Gleichung lauten: Positive Daten be- 
deuten Vorteile und Teilhabe — negative 
Daten Nachteile und Ausgrenzung. Und 
gar keine Daten können in der digitalen 
Gesellschaft einer faktischen Nichtexis- 
tenz gleichkommen. Wenn zum Beispiel 
die Bonität von Menschen anhand von 
Posts bei Facebook und ihrem dortigen 
„Freundeskreis“ bewertet wird, kann 
die Abwesenheit von einem Facebook- 
Profil schnell zu einer ökonomischen 
Diskriminierung führen. Wenn Daten 
aus der Vergangenheit über Teilhabe- 
Chancen in der Zukunft bestimmen, ist 
das nicht unbedenklich. 

Selbstlernende Algorithmen versu- 
chen das Verhalten von Menschen mit 
immer höherer Genauigkeit vorherzusa- 
gen. Schon heute beeinflussen Algorith- 
men viele Entscheidungen — sowohl im 
Geschäftsleben als auch politisch und 
sozial: Der Preis eines Flugtickets, die 
Kreditwürdigkeit eines Verbrauchers 
oder der Zugang eines Kunden zu be- 
stimmten Versicherungstarifen werden 
immer öfter individuell von Algorith- 
men bestimmt. Und bei bestimmten 
Kundenhotlines werden angeblich auch 
nur noch Anrufer durchgestellt, die von 
einem Algorithmus als wohlhabend ein- 
gestuft werden. 

Besonders schwierig werden digitale 
Scoring-Verfahren, wenn sie nicht nur 
kommerzielle, sondern soziale oder poli- 
tische Ziele verfolgen: In den USA wer- 
den Bewerbungen durch Algorithmen 
vorsortiert, und die Justiz lässt mancher- 
orts sogar Rückfallwahrscheinlichkeiten 
von Straftätern von Algorithmen pro- 
gnostizieren. In China werden in aus- 
gewählten Regionen für jeden Bürger 
rund 5.000 verschiedene Behördenda- 
ten digital zusammengeführt, um seine 
„soziale Zuverlässigkeit‘ zu errechnen. 
Für die Angepassten gibt es Privilegi- 
en, bei abweichendem Verhalten gibt 
es Sanktionen, vom Ausreiseverbot bis 
hin zu Bildungsbeschränkungen für die 
Kinder. Diese Verfahren reduzieren die 
Menschen auf ihre Vergangenheit und 
können wichtige Chancen auf einen 
Neustart in der Zukunft verbauen. 

Wir sollten auch mit unserem Glauben 
an die Objektivität der Technik vorsich- 
tig sein — Algorithmen sind nur so gut 
wie diejenigen, die sie programmiert 
haben, und die Datenbasis, mit der sie 
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gelernt haben. Fehler, die dort stattfin- 
den, werden sich in ungeahnter Weise 
vervielfältigen. 

In Australien hat die Regierung ver- 
gangenes Jahr ein Experiment mit algo- 
rithmischer Entscheidungsfindung ge- 
startet. Die Steuerbehörden haben ihre 
Bescheide ausschließlich mit Hilfe von 
Datenabgleichen erstellt: voll automa- 
tisiert, ohne Anhörung der Betroffenen, 
ohne Offenlegung der Entscheidungskri- 
terien. Das Ergebnis war, dass auf Milli- 
onen Menschen massive Steuerforderun- 
gen zukamen, ohne dass überhaupt klar 
war, warum. Die australischen Medien 
nannten diese vom Algorithmus ermit- 
telten angeblichen Schulden denn auch 
„Robo-Debt“ — „Roboter-Schulden‘“. 

Jenseits des Datenschutzes hat der 
Einsatz von Algorithmen auch massive 
gesellschaftliche Effekte. So können 
soziale Verhältnisse zementiert werden, 
wenn die Daten, die ein Algorithmus 
analysiert, bereits selbst Diskriminie- 
rungen enthalten. Soziale Ungleichheit 
kann dann reproduziert und damit im 
Ergebnis auch verfestigt werden. 

In den USA wird zum Beispiel die au- 
tomatisierte Gesichtserkennung als Be- 
weismittel vor Gericht verwandt. Wis- 
senschaftler haben festgestellt, dass ein 
Afro-Amerikaner, der vor Gericht steht, 
bei dieser vermeintlich ganz objektiven 
Technik einem deutlich höheren Risiko 
ausgesetzt ist, fälschlicherweise ver- 
urteilt zu werden, als ein Nicht-Afro- 
Amerikaner. Warum? Weil diese Ge- 
sichtserkennungsprogramme vor allem 
mit weißen Testpersonen trainiert wer- 
den und deshalb deutlich differenzie- 
rendere Ergebnisse bei Weißen liefern, 
während die Quote falscher Treffer bei 
Afro-Amerikanern sehr viel höher ist. 

Das war ein Beispiel mit besonders 
drastischen Konsequenzen, aber es gibt 
auch Diskriminierungen, die weitaus 
weniger augenscheinlich sind. Wenn 
heute etwa bestimmte Online-Händler 
in bestimmte Postleitzahl-Bereiche 
nicht mehr ausliefern, weil dort die Be- 
trugsfälle besonders hoch sind, dann 
wird der rechtstreue Besteller in Mitver- 
antwortung genommen und wegen sei- 
ner Postleitzahl diskriminiert. 

Letztlich sind Algorithmen bloß Werk- 
zeuge. Nicht jedes Werkzeug aber ist 
für jede Aufgabe geeignet. Je sensibler 
ein Bereich ist, in dem ein bestimmtes 


Werkzeug eingesetzt werden soll, desto 
wichtiger ist es, die Fehleranfälligkeit 
und Aussagekraft des Algorithmus zu 
prüfen und zu diskutieren. Im Bereich 
der Polizeiarbeit oder Strafverfolgung 
können die Folgen von algorithmischen 
Fehlern für die Betroffenen verheerend 
sein. Aber es geht auch um das soziale 
Zusammenleben. 

Seit mehr als zehn Jahren haben wir in 
Deutschland das AGG — das Antidiskri- 
minierungsgesetz. Wer an der Tür zum 
Club vom Türsteher wegen seiner Haut- 
farbe abgewiesen wird, wer wegen einer 
Behinderung als Hotelgast unerwünscht 
ist — der kann sich mit diesem Gesetz 
gegen diese Diskriminierungen wehren. 
Ein digitales AGG, ein digitales Anti- 
diskriminierungsgesetz könnte hilfreich 
sein — gegen digitale Diskriminierung 
und für vorurteilsfreies Programmie- 
ren. Technischer Fortschritt darf eben 
nicht zu gesellschaftlichem Rückschritt 
führen, und deshalb wäre ein Ordnungs- 
rahmen nötig, der viel Raum für Innova- 
tionen bietet, der aber genauso den Ein- 
satz von diskriminierenden Algorithmen 
verhindert. 


Selbstbestimmung 


In der schönen neuen Welt der Algo- 
rithmen müssen wir auch die Selbstbe- 
stimmung bewahren. Die Grundfrage 
lautet hier: Wie schützen wir in Zeiten 
der Digitalisierung die Selbstbestim- 
mung und die Handlungsfreiheit des 
Einzelnen? Wie verhindern wir, dass 
Menschen nicht allein der Technik un- 
terworfen werden? 

Vielleicht kennen Sie die englische 
Comedy-Serie „Little Britain“. Da gibt 
es einen Sketch mit dem Titel „Compu- 
ter says No“. Verschiedene Bürger besu- 
chen ein Reisebüro, sind bei der Bank 
oder bei der Anmeldung im Kranken- 
haus. Ihre Anliegen werden überall von 
Mitarbeitern aufgenommen und in den 
Computer eingegeben. Aber was immer 
sie wollen, sie bekommen überall die 
gleiche Auskunft: „Computer says No“. 
Warum und wieso entschieden wurde, 
bleibt das Geheimnis des Algorithmus. 
Eine Begründung gibt es nichts. Ledig- 
lich Mitarbeiter, die nur wiederholen 
können: „Computer says No“ 

Was als Comedy lustig daherkommt, 
verweist auf ein ernstes Problem der digi- 
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talen Welt: Bis zu welchem Grad sind wir 
bereit, unsere Handlungsfreiheit durch 
Algorithmen beschneiden zu lassen? Und 
wie schaffen wir die Transparenz, die Vo- 
raussetzung für jede Selbstbestimmung 
ist? Wie weit ist es mit diesen Maximen 
eigentlich noch her, wenn etwa unser 
Such- und Leseverhalten im Netz so aus- 
gewertet wird, das uns ständig Vorschlä- 
ge gemacht werden, die auf unser bishe- 
riges Verhalten abgestimmt sind? 

Diesen gleichen Effekt der permanen- 
ten Selbstbestätigung fördern soziale 
Netzwerke, wenn einzelne Botschaften 
durch Algorithmen sortiert, personali- 
siert oder gefiltert werden. Indem Algo- 
rithmen menschliches Verhalten auf vor- 
bestimmte Bahnen lenken, können sie 
die Selbstbestimmung und Handlungs- 
freiheit des Einzelnen durchaus auch 
einschränken. Früher hieß das Tunnel- 
blick. Heute sind es die „Echokammer“ 
und die „Filter-Blase“, die dafür sorgen, 
dass wir oftmals nur noch auf Positionen 
treffen, die uns in der eigenen Meinung 
bestärken — egal wie absurd die im Ein- 
zelfall auch sein mag. Selbst die Anhän- 
ger der „Flat Earth“-Theorie bekommen 
permanent neue Belege aus dem Netz, 
die ihre Theorie bestätigen, dass die 
Erde tatsächlich eine Scheibe ist. 

Wenn Sie eine Zeitung oder Zeit- 
schrift von vorne bis hinten durchblät- 
tern, stoßen Sie immer wieder auf The- 
men und Thesen, die Sie bislang nicht 
kannten und nun für sich entdecken kön- 
nen, ohne nach ihnen gesucht zu haben. 
Solche Neuentdeckungen verhindern 
die Echokammern und Filter-Blasen 
im Netz: Überraschungen, Irritationen, 
abweichende Meinungen werden ausge- 
blendet, damit sich der Nutzer in seiner 
eitlen Selbstbespiegelung und Selbstbe- 
jahung sogar noch sonnen kann. Diese 
Form der Weltflucht und des Verzichts 
auf Selbstbestimmung ist für das Zu- 
sammenleben und den Zusammenhalt 
in einer Gesellschaft durchaus kont- 
raproduktiv. Es ist ja nicht so, dass in 
der analogen Welt die Menschen im- 
mer parallel die FAZ und das „Neue 
Deutschland“ lesen, um ihren Horizont 
zu weiten. Aber der Unterschied ist, dass 
in der analogen Welt die Ausrichtungen 
dieser Blätter transparent sind und die 
Entscheidungen für das eine oder ande- 
re Medium bewusst und selbstbestimmt 
getroffen werden. 
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Wenn aber unter dem Mantel der tech- 
nischen Neutralität und Objektivität Tref- 
ferlisten und die Anzeige von Nachrich- 
ten und Postings politisch manipuliert 
werden, dann bleibt die demokratische 
Selbstbestimmung auf der Strecke. 

Ein Transparenzgebot für Algorithmen 
wäre hilfreich, damit Nutzerinnen und 
Nutzer verlässlich einschätzen können, 
ob das Netz versucht, sie zu beeinflussen, 
und damit sie selbstbestimmt entscheiden 
können, welche Filter und Personalisie- 
rungen sie in der digitalen Welt akzeptie- 
ren wollen und welche nicht. 

„Computer says No“ — das passt nicht 
zu einem freiheitlichen Rechtsstaat. Im 
Rechtsstaat sind alle Entscheidungen 
begründungspflichtig. Denn nur so kann 
überprüft werden, ob die Grundlagen, 
auf denen sie getroffen wurden, richtig, 
rechtmäßig und auch verhältnismäßig 
sind. Eine solche Überprüfbarkeit brau- 
chen wir auch, wenn Algorithmen Ent- 
scheidungen vorbereiten. 

Auch im digitalen Raum muss sich 
der freie gesellschaftliche Diskurs voll- 
ziehen können. Und gerade die politi- 
sche Willensbildung muss frei bleiben 
von digitaler Manipulation aus dem Ver- 
borgenen heraus. 


Sicherheit 


Es bleibt der letzte Aspekt der Sicher- 
heit. Wie können wir gewährleisten, dass 
die digitalen Prozesse und Produkte si- 
cher sind, und dafür sorgen, dass gelten- 
des Recht im Netz eingehalten wird? Es 
geht um digitale Produktsicherheit, aber 
auch um Rechtssicherheit. 

Wenn digitale Produkte und Prozesse 
Sicherheitslücken aufweisen, dann müs- 
sen die Verantwortlichkeiten zwischen 
Herstellern, Dienstleistern und Verbrau- 
chern klarer sein, als es bisher der Fall 
ist. Denn die Risiken müssen fair verteilt 
sein. Erst vor wenigen Tagen mussten 
Unternehmen und Behörden auf der gan- 
zen Welt einen massiven Cyberangriff 
mit Schadprogrammen auf ihre Netz- 
werke abwehren. Und je mehr alltägli- 
che Geräte im sogenannten „Internet der 
Dinge“ digital miteinander kommunizie- 
ren, desto höher sind die Sicherheitsri- 
siken, derer sich viele Nutzerinnen und 
Nutzer noch gar nicht bewusst sind. Um 
europaweit geltende Vorschriften zur IT- 
Sicherheit, die verpflichtende Mindestan- 


forderungen definieren, werden wir nicht 
herumkommen. Außerdem könnte durch 
die Einführung eines freiwilligen Güte- 
siegels für internetfähige Produkte mehr 
Transparenz über die jeweiligen Sicher- 
heitseigenschaften hergestellt werden. 

Risikoverteilung ist immer eine Frage 
der Verteilung von Verantwortung. Aber 
Verantwortung kann man nur für Risi- 
ken tragen, die man kennen und beherr- 
schen kann. Sicherheitslücken bei der 
Programmierung sind dem Zugriff des 
Durchschnittsverbrauchers völlig entzo- 
gen, und deshalb ist es nicht fair, wenn 
die Folgen solcher Sicherheitslücken 
einseitig auf den Verbraucher abgewälzt 
werden. 

Neben der Produktsicherheit muss es 
auch die Sicherheit geben, dass das gel- 
tende Recht auch im Internet eingehal- 
ten wird. Schnelle Überprüfungs- und 
Abhilfemöglichkeiten, eine effektive 
Rechtsdurchsetzung sind zwingende 
Voraussetzung, damit die Menschen 
Vertrauen in die digitale Welt fassen und 
ein Leben „onlife‘“ tatsächlich auch Zu- 
kunft hat. 

Das Internet darf kein rechtsfrei- 
er Raum sein. Und es darf auch keinen 
rechtsschutzfreien Raum geben. Unsere 
Gesellschaft darf ihren Anspruch, die Di- 
gitalisierung zu gestalten, nicht aufgeben 
und vor den kommerziellen Interessen 
der globalen Internet-Riesen nicht die 
Segel streichen. Die Digitalisierung ist 
eine großartige und faszinierende Ent- 
wicklung. Ich wollte in keiner anderen 
Epoche leben als im digitalen Zeitalter. 
Aber wir müssen gemeinsam dafür Sor- 
ge tragen, dass Werte, die schon unsere 
Vorfahren erstritten und erkämpft haben, 
nicht leichtfertig untergraben werden. 


Schluss 


Gleichheit und Freiheit — das sind die 
Werte, um die es im Wesentlichen geht. 
Und Transparenz ist der Garant dafür, 
um Diskriminierungen zu verhindern 
und Selbstbestimmung zu sichern. Des- 
halb brauchen wir mehr Transparenz 
von Algorithmen. Wir brauchen auch 
eine Rechtsdurchsetzung, Aufsicht und 
die Kontrolle von Transparenz. Wir 
brauchen auch mehr wissenschaftliche 
Expertise, denn wie soll die Gesell- 
schaft der Technik Regeln setzen, wenn 
der Sachverstand dafür nur in betroffe- 
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nen Unternehmen vorhanden ist? Des- 
halb sollte die nächste Bundesregierung 
eine „Digital-Agentur“ gründen, um im 
Austausch mit Wissenschaft, Wirtschaft 
und Verbrauchern mehr Expertise zu 
erlangen — über Algorithmen, über das 
Internet der Dinge und das Leben in der 
digitalen Welt. 


Die oberste Maxime unseres Zusam- 
menlebens ist und bleibt die Würde eines 
jeden Menschen. „Computer says No“ — 
das ist mit dieser Maxime nicht vereinbar. 
Denn zur Menschenwürde im digitalen 
Zeitalter gehört vor allem, dass niemals 
ein Mensch zum bloßen Objekt von Tech- 
nik oder auch Algorithmen werden darf. 


Quelle: 


https://www.bmjv.de/SharedDocs/ 
Reden/DE/2017/07032017_digitales_ 
Leben.html 


Pressemitteilung der Berliner Beauftragten für Datenschutz 
und Informationsfreiheit vom 13. September 2017 


Bündnis für mehr Videoaufklärung — 


10 Gründe, warum Sie nicht unterschreiben sollten 
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Ihre Meinung ist uns wichtig 


In der Öffentlichkeit fühle ich mich in letzter Zeit, 


tiefer als bisher in das Persön- 
lichkeitsrecht der Bürgerinnen 
und Bürger eingegriffen wer- 
den. Darüber hinaus sollen 
Hinweise auf Überwachungs- 
maßnahmen unter bestimmten 
Voraussetzungen entfallen 
können. Diese Vorschläge 
lassen sämtliche datenschutz- 
rechtliche Grundprinzipien 
völlig außer Acht. 


2. Niemand soll anlasslos 
verdächtigt werden! 

Die Initiatoren möchten es 
der Polizei mit dem Geset- 
zesentwurf ermöglichen, für 
einen pauschalen Zeitraum 
von mindestens einem Monat 
anlasslos umfassendes Bild- 


Webseite des Bürgerbündnisses für mehr Videoaufklärung und mehr Datenschutz 


Das Bürgerbündnis für mehr Video- 
aufklärung und mehr Datenschutz hat 
einen Gesetzesentwurf für ein „Artikel- 
Gesetz für mehr Sicherheit und mehr 
Datenschutz in Berlin“ vorgestellt, 
über den in einem Volksbegehren ent- 
schieden werden soll. Die Berliner 
Beauftragte für Datenschutz und Infor- 
mationsfreiheit, Maja Smoltczyk, rät 
Berliner Bürgerinnen und Bürgern aus 
folgenden Gründen davon ab, die Initi- 
ative zu unterstützen: 
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1.Mit Datenschutz hat das nichts zu 
tun! 

Das Bündnis gibt als eines seiner 
Hauptanliegen vor, den Datenschutz 
beim Einsatz von Videoüberwachungs- 
technik verbessern zu wollen. Ein Blick 
in den Gesetzesentwurf zeigt jedoch, 
dass das Gegenteil der Fall ist. Überwa- 
chungsmaterial soll zunächst in verfas- 
sungsrechtlich anfechtbarer Weise an- 
lasslos auf Vorrat gespeichert werden. 
Durch sog. intelligente Techniken soll 


und Tonmaterial zu speichern. 

Solche Maßnahmen stellen 
alle Berliner Bürgerinnen und Bürger in 
Generalverdacht. Verfassungsrechtlich 
ist eine solche Speicherung von Daten 
auf Vorrat höchst bedenklich. 


3. Videoüberwachung macht die 

Stadt nicht sicherer! 

Die Initiative hat zum Ziel, Berlin 
sicherer zu machen. Mehr Kameras 
tragen dazu nicht bei. Gewalttäter, die 
im Affekt handeln, lassen sich von ei- 
ner Kamera nicht abhalten. Terroristen 
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könnten sich durch sie gar angespornt 
fühlen. Aber auch Kriminelle, die ihre 
Taten vorab planen, werden durch den 
Einsatz von Überwachungskameras 
nicht von ihrem Ansinnen absehen, 
sondern Mittel und Wege finden, der 
Überwachung zu entgehen (z. B. durch 
einfaches Verhüllen des Gesichts durch 
Kapuzen oder Ähnliches). 


4. Auch wer nichts zu verbergen hat, 
ist betroffen! 

Gerne wird argumentiert, wer nichts 
zu verbergen hat, habe auch nichts zu 
befürchten. Das ist falsch. Insbeson- 
dere der Einsatz von sog. intelligenter 
Überwachungstechnik könnte künf- 
tig auch unbescholtene Bürgerinnen 
und Bürger in die Gefahr bringen, 
sich verdächtig zu machen, indem sie 
sich scheinbar ungewöhnlich verhal- 
ten oder sich zufällig in der Nähe von 
Straftätern aufhalten. So kann z. B. 
häufiges Rolltreppenfahren an Bahn- 
höfen als auffällig eingestuft werden, 
da sich auch Taschendiebe entspre- 
chend verhalten; auch ein längeres 
Warten auf eine Verabredung könnte 
problematisch werden. In Kombina- 
tion mit der Abspeicherung biometri- 
scher oder in sonstiger Weise perso- 
nenbeziehbarer Daten können Men- 
schen so unvermittelt als verdächtige 
Person gelten und ins Fadenkreuz von 
Ermittlungen geraten. 


5. Lauschangriff auf Berlin! 

Das Bündnis sieht nicht nur den ver- 
mehrten Einsatz von Videoaufnahmen 
vor. Öffentliche Orte, wie Verkehrs- 
mittel, Gerichte, Religionsstätten und 
Friedhöfe sollen künftig auch akustisch 
überwacht werden dürfen. Der Geset- 
zeswortlaut lässt theoretisch auch eine 
Überwachung von Einkaufszentren, 
Kaufhäusern, Restaurants, Schwimmbä- 
dern, Museen und sogar Privatgebäuden 
und -geländen von öffentlichem Interes- 
se zu. In weiten Bereichen der Berliner 
Innenstadt könnten Bürgerinnen und 
Bürger sich dann nicht mehr sicher sein, 
wer ihnen wann zuhört. 


6.Identitätsdiebstahl kann 
lebenslange Folgen haben! 
Das Bündnis will die Entwicklung 
sog. intelligenter Videotechnik fördern. 
Darunter fallen auch Verfahren, die mit 
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biometrischen Daten arbeiten, wie die 
automatische Gesichtserkennung. Die 
Risiken dieser Technik sind gravierend. 
Anders als z. B. Passwörter sind biome- 
trische Daten nicht veränderbar. Geraten 
sie einmal in die falschen Hände, kann 
das für die Betroffenen lebenslange Fol- 
gen haben. Im Besitz biometrischer Da- 
ten könnten Kriminelle auch noch nach 
Jahren Online-Einkäufe auf Kosten der 
Opfer tätigen oder sich Zugang zu frem- 
den Systemen verschaffen. 


7.Die Missbrauchsgefahr ist real! 

Je mehr Daten erhoben und je länger 
sie gespeichert werden, desto mehr steigt 
auch die Gefahr des Missbrauchs. Große 
Datenhacks in der Vergangenheit, z. B. 
im Telekommunikationsbereich, haben 
gezeigt, wie anfällig technische Systeme 
für unerlaubte Zugriffe sind. Insbeson- 
dere biometrische Daten sind aufgrund 
der mit ihnen verbundenen eindeutigen 
und regelmäßig unabänderlichen Zuord- 
nungsmöglichkeit zu den Betroffenen 
als äußerst sensibel einzustufen. Ihre 
Erhebung und Speicherung ist daher nur 
innerhalb enger verfassungsrechtlicher 
Grenzen zulässig. 


8.Die Datenschutzaufsicht ist und 
bleibt unabhängig! 

Mit dem vorgeschlagen Gesetz soll 
ferner ein öffentliches Institut für Kri- 
minalprävention gegründet werden. 
Unter der Aufsicht der für Forschung 
zuständigen Senatsverwaltung soll die- 
ses Institut unter anderem Bürgerinnen 
und Bürger in Sachen Datenschutz 
beim Einsatz von Videotechnik beraten 
und Auskunft über die Anwendbarkeit 
der datenschutzrechtlichen Normen 
erteilen. — Eine systematische, wis- 
senschaftlich fundierte Überprüfung 
des bisherigen Einsatzes von Video- 
überwachungsmaßnahmen in Berlin 
ist zwar durchaus wünschenswert, sie 
muss aber ergebnisoffen und durch un- 
abhängige Einrichtungen erfolgen. In 
der vorgeschlagenen Form unterliegt 
die Errichtung des vorgeschlagenen In- 
stituts nachhaltigen verfassungsrechtli- 
chen Bedenken. Die Datenschutzbera- 
tung ist nach höherrangigem Recht eine 
Kernaufgabe der Datenschutzaufsichts- 
behörden. Deren Unabhängigkeit ist 
verfassungsrechtlich und europarecht- 
lich geschützt. 


9.Es fehlt schon an der Gesetzeskom- 
petenz! 

Durch die Ausweitung der Videoüber- 
wachung soll insbesondere die Verfol- 
gung von Straftaten verbessert werden. 
Dieses Anliegen kann jedoch nicht mit 
einem Berliner Volksbegehren durchge- 
setzt werden. Die Aufgabe der Strafver- 
folgung ist der Berliner Polizei durch die 
Strafprozessordnung, also ein Bundes- 
gesetz, zugewiesen. Auf Grundlage des 
Berliner Allgemeinen Sicherheits- und 
Ordnungsgesetzes kann die Polizei aus- 
schließlich im Rahmen der Gefahren- 
abwehr Maßnahmen treffen, die für die 
Verfolgung von Straftaten vorsorgen. 
Eine Regelung zur anlasslosen Überwa- 
chung zum Zweck der Strafverfolgung 
ist im Polizeirecht ausgeschlossen. 


10.Es geht um viel mehr... 

Bei der Frage, ob die Initiative unter- 
stützt werden sollte, geht es nicht bloß 
um die Entscheidung über ein paar Ka- 
meras mehr oder weniger. Die Debatte 
wirft vielmehr die Frage auf, wie wir 
künftig leben wollen. Der politische 
Trend, als Reaktion auf die Probleme in 
unserer Gesellschaft die Überwachungs- 
infrastruktur immer weiter auszubauen, 
ist ein zweifelhafter Ansatz. Anstelle 
Probleme von der Wurzel her anzugehen 
und Fragen nach den Ursachen zu stel- 
len, werden elementare Grundfreiheiten 
unserer demokratischen Gesellschaft 
zur Disposition gestellt. 


Maja Smoltczyk: 

„Ob und inwieweit Freiheitsrechte 
eingeschränkt werden dürfen, um Straf- 
taten vorzubeugen oder aufzuklären, 
bedarf einer sachlichen, öffentlichen 
Diskussion und einer sorgfältigen Ab- 
wägung aller betroffenen Aspekte. Wer 
solche Maßnahmen jedoch in einem 
Gesetzesentwurf mit dem Titel „mehr 
Sicherheit und mehr Datenschutz“ ver- 
packt, verkauft dem Bürger eine Mogel- 
packung. Dass das vorgeschlagene Ge- 
setz zu mehr Sicherheit führt, ist mehr 
als zweifelhaft. Dass es mit dem Daten- 
schutz nicht vereinbar ist, steht fest.“ 


Quelle: 
https://www.datenschutz.de/buendnis- 
fuer-mehr-videoaufklaerung-10- 
gruende-warum-sie-nicht- 
unterschreiben-sollten/ 
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Leserbrief von Patrick Breyer und 
eine Replik von Thilo Weichert 


Patrick Breyer schreibt: „Im Teil 
„Rechtsprechung“ habt ihr auf S. 110 
der DANA 2/2017 dankenswerterweis 
über das BGH-Urteil zu IP-Adressen 
berichtet. Leider kann die Überschrift 
(IP-Adressenspeicherung für Sicher- 
heitszwecke zulässig‘) und der erste 
Satz den Eindruck erwecken, der BGH 
habe die Speicherung von Surfprotokol- 
len zur Abwehr von Sicherheitsrisiken 
für zulässig erklärt. 

Aus dem inzwischen vollständig vor- 
liegenden Urteil ergibt sich, dass die 
Internetnutzung mitsamt der IP-Adresse 
nur protokolliert werden darf, "soweit 
ihre Erhebung und ihre Verwendung er- 
forderlich sind, um die generelle Funkti- 
onsfähigkeit der Dienste zu gewährleis- 
ten, wobei es allerdings einer Abwägung 
mit dem Interesse und den Grundrechten 
und -freiheiten der Nutzer bedarf‘. Um 
diese Abwägung vorzunehmen, muss 
das Landgericht Berlin nun zunächst 
prüfen, "ob die Speicherung der IP-Ad- 
ressen des Klägers über das Ende eines 
Nutzungsvorgangs hinaus erforderlich 
ist‘, insbesondere welches "Gefahrenpo- 
tenzial' die Internetportale des Bundes 
aufweisen. Wenn der BGH die Erforder- 
lichkeit und das Ergebnis der Abwägung 
als offen ansieht, kann man dem Urteil 
eine Entscheidung über die Zulässigkeit 
noch nicht entnehmen. 


Pressemitteilung von Patrick Breyer: 


In meinem Grundsatz-Rechtsstreit ge- 
gen die Vorratsspeicherung der Internet- 
nutzung (auch Surfprotokollierung oder 
Internet-Tracking genannt) hat der Bun- 
desgerichtshof nun die Begründung zu 
seinem viel beachteten Urteil vom 16. 
Mai vorgelegt (Az. VIZR 135/13). 

Danach unterliegt die IP-Adresse als 
Identifikationsmerkmal beim Surfen 
im Netz dem Datenschutz. Anbieter 
von Internetportalen dürfen die Inter- 
netnutzung mitsamt der IP-Adresse nur 
protokollieren, "soweit ihre Erhebung 
und ihre Verwendung erforderlich sind, 
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um die generelle Funktionsfähigkeit 
der Dienste zu gewährleisten, wobei 
es allerdings einer Abwägung mit dem 
Interesse und den Grundrechten und 
-freiheiten der Nutzer bedarf‘. Um die- 
se Abwägung vorzunehmen, müsse das 
Landgericht Berlin zunächst prüfen, 
‘ob die Speicherung der IP-Adressen 
des Klägers über das Ende eines Nut- 
zungsvorgangs hinaus erforderlich ist‘, 
insbesondere welches "Gefahrenpo- 
tenzial' die Internetportale des Bundes 
aufweisen. Der Bund verzichte nach 
eigenen Angaben bei einer Vielzahl von 
Portalen mangels "Angriffsdrucks’ auf 
eine Speicherung. Das Interesse an einer 
protokollierungsfreien Internetnutzung 
sei allerdings im Fall dynamischer IP- 
Adressen 'nach den bisherigen Feststel- 
lungen eher gering‘ zu veranschlagen, 
weil deren Identifizierung "an enge Vor- 
aussetzungen gebunden’ sei. Anders lie- 
ge es bei statischen IP-Adressen, deren 
Zuordnung zu bestimmten Anschlüssen 
einer allgemein zugänglichen Datei zu 
entnehmen sei. 

Mein Kommentar als Kläger: Ob eine 
massenhafte Aufzeichnung unseres In- 
ternet-Nutzungsverhaltens gestattet ist 
und, wenn ja, wie lange, lässt der Bun- 
desgerichtshof offen. Doch eins wird 
deutlich: Offenbar konnte ich den Rich- 
tern noch nicht ausreichend vermitteln, 
dass uns eine Aufzeichnung unserer In- 
ternetnutzung nackt im Netz macht. 

Was ich lese, schreibe und wonach 
ich suche, spiegelt meine privatesten 
und intimsten Interessen, Überzeu- 
gungen, Vorlieben und Schwächen 
wieder — doch davon findet sich kein 
Wort im Urteil. Der ständige Eindruck 
von Überwachung und die permanente 
Sorge vor möglichen Konsequenzen — 
egal, ob sie tatsächlich eintreten oder 
nicht — macht eine unbefangene Infor- 
mation und Diskussion über das Netz 
unmöglich. Eine Vorratsspeicherung 
unserer Internetnutzung setzt intimste 
Informationen über unsere Persönlich- 
keit inakzeptablen Risiken von Da- 


tenverlust, Datenmissbrauch oder fal- 
schem Verdacht aus. Nur nicht gespei- 
cherte Daten sind sichere Daten. Das 
Bundesverfassungsgericht hat schon in 
seinem Urteil zur Vorratsdatenspeiche- 
rung betont, dass die Internetnutzung 
nicht inhaltlich festgehalten und damit 
rekonstruierbar bleiben darf. Unser Le- 
ben wird immer digitaler, aber es darf 
damit nicht immer gläserner werden! 

Ein gerichtliches Sachverständigen- 
gutachten für das Landgericht Berlin 
hat schon vor Jahren ergeben, dass — 
unabhängig vom ‚Angriffsdruck‘ — ‚für 
die Absicherung von IT-Systemen eine 
Vielzahl von anderen, wesentlich ef- 
fektiveren Mitteln und Methoden’ als 
eine massenhafte Surfprotokollierung 
existieren.[1] Im Zeitalter internationa- 
ler Netzwerke auf IT-Sicherheit durch 
Abschreckung (‚Generalprävention‘) zu 
setzen, ist illusorisch und entbehrt jeder 
gesetzlichen Grundlage. Ein effektiver 
Schutz vor Angriffen ist alleine durch 
technische Absicherung der Systeme 
möglich.“ 


[1] Sachverständigengutachten (Seite 10), 
http://www.daten-speicherung.de/ 
wp-content/uploads/ 
Surfprotokollierung 2011-07-29 _ 
Sachverst an _LG.pdf 


Antwort von Thilo Weichert auf die- 
sen Leserbrief: 


„Patrick Breyers Position ist von 
Vorgestern. Sie ist von einem schwarz- 
weißen Weltbild geprägt, das leider über 
zwei Jahrzehnte die Diskussion um die 
Vorratsspeicherung von Telekommu- 
nikations- (TK-) Metadaten prägte. Es 
geht schon lange nicht mehr um ‘nackt’ 
vs. ‘anonym’, es ging noch nie um "Ge- 
neralprävention’, heute sollte es um 
konkrete Angriffsabwehr gehen. Die- 
se Diskussion wurde glücklicherweise 
vom Bundesverfassungsgericht, vom 
Europäischen Gerichtshof (EuGH) und 
nun in Reaktion auf den EuGH vom 
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Bundesgerichtshof (BGH) auf eine ra- 
tionalere Ebene gebracht. Es geht also 
nicht um "Vorratsdatenspeicherung — ja 
oder nein’. Datenspeicherungen sind 
weder Teufelszeug noch Allheilsmittel. 
Es geht vielmehr um Datenminimierung 
sowie darum, Grundrechte miteinander 
abzuwägen, Verhältnismäßigkeitsfest- 
stellungen vorzunehmen und informa- 
tionelle Eingriffe durch technisch-orga- 
nisatorische oder auch durch materiell- 
rechtliche Vorkehrungen erträglich zu 
machen, wenn sie für wichtige Zwecke 
erforderlich sind. Dass eine kurzfristi- 
ge Speicherung von IP-Adressen aus 
Gründen der IT-Sicherheit erforderlich 


Cartoon 


"alu 


zu Yrım bıram 


WIE KOMMT ES EIGENTLICH, DASS DIE 
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und auch verhältnismäßig sein können, 
wird von vernünftigen Datenschützern 
nicht mehr bestritten. So wurde über 
Jahre die einwöchige Speicherung von 
Metadaten durch die Telekom toleriert. 
Richtig ist es, über die Dauer, die Mo- 
dalitäten und die Zwecke der Speiche- 
rung von TK-Metadaten zu diskutieren. 
Dabei ist es auch relevant, dass IP-Ad- 
ressenspeicherungen zur Aufdeckung 
und zur Verhinderung von Datenschutz- 
verstößen notwendig sein können. Dass 
insofern das aktuelle deutsche Gesetz 
zur Vorratsspeicherung von TK-Daten 
über das verhältnismäßige Maß hinaus- 
geht, ist inzwischen nicht nur von der 
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Rechtsprechung, sondern auch von der 
Verwaltungspraxis, leider nicht von der 
Regierungspolitik, erkannt worden. 

Die Haltung von Breyer ist problema- 
tisch, wenn sie von ihm zur Spaltung der 
Datenschutzbewegung genutzt wird und 
wenn er diskursive Positionen als Verrat 
auszugrenzen versucht. Sie hat zur Fol- 
ge, dass er sich selbst aus dem Dialog 
ausgrenzt. Es kommt nicht von unge- 
fähr, dass Breyer seit über zwei Jahren 
die öffentliche Diskussion über einen 
rationalen Umgang mit TK-Metadaten 
in Kiel verweigert. Man könnte den Ein- 
druck haben, dass ihm Effekthascherei 
wichtiger ist als adäquate Lösungen.“ 
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ES IST EINE PERFIDE METHODE, DEN 
ÜBERWACHUNGSSTAAT EINZUFÜHREN. 
BIS DAS BUNDESVERFASSUNGSGERICHT 
4 | DIE GESETZE GEPRÜFT HAT, VERGEHEN 
WEGEN ÜBERLASTUNG VIELE JAHRE. 
SO LANGE SIND DIE GESETZE GÜLTIG. 
UND DANACH MACHT MAN EINFACH 
WIEDER "NEUE" VERFASSUNGSWIDRIGE 
GESETZE MIT ANDEREN NAMEN. 


DANA » Datenschutz Nachrichten 3/2017 


BEICSJaRZlalFırdar:Teialaleiait-Ya 


Datenschutznachrichten aus Deutschland 


Bund 


Spracherkennungs- 
programme im BAMF 
geplant 


Das Bundesamt für Migration und 
Flüchtlinge (BAMF) hat Spracherken- 
nungsprogramme zur Identifizierung 
von Asylsuchenden abgelehnt, die es 
im Frühjahr 2016 angeboten bekam. 
Eine Erprobung sei unter anderem 
wegen Vorbehalten beim Datenschutz 
unterblieben. Mit den Programmen 
hätten, so Pressemeldungen unter 
Berufung auf eine interne Quelle aus 
dem BAMEF, die 14 falschen Identitä- 
ten des späteren Attentäters Anis Amri 
enttarnt werden können. Den Berich- 
ten zufolge hatten mehrere IT-Unter- 
nehmen aus Deutschland und Israel 
der Behörde entsprechende Angebote 
unterbreitet, wovon mindestens eines 
der Unternehmen aus Israel Kontakte 
zum israelischen Geheimdienst besit- 
ze. Viele Geheimdienste setzen Spra- 
cherkennungsprogramme ein. Moder- 
ne Programme versuchen anhand von 
Gesprächsanalysen die Herkunft eines 
Sprechers mit hoher Wahrscheinlich- 
keit zu identifizieren. Es könne nicht 
nur festgestellt werden, ob jemand 
in seiner Muttersprache spricht. So- 
gar die Zuordnung des Dialektes zu 
einzelnen Regionen sei möglich. Das 
Bundesinnenministerium bestätig- 
te, dass die Behörde mittlerweile den 
Markt für „Systeme der Sprach- und 
Gesichtserkennung“ eruiert. Ob und 
wann eine Testreihe geplant sei, wurde 
jedoch nicht bekanntgegeben. 

Rund 60% der Asylantragstellen- 
den erscheinen beim Bundesamt oder 
den Ausländerbehörden ohne Papiere. 
Laut einer McKinsey-Studie sind die 
Abschiebungshindernisse oft „vor- 
getäuscht oder selbstverschuldet her- 
beigeführt“. Die bisherige Methode, 
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Gutachter zu bestellen, ist ausgespro- 
chen umständlich und kostspielig. 
Zudem hätten Dolmetscher häufig 
falsche Loyalitäten. Das BAMF for- 
mulierte in einer Stellenausschrei- 
bung: „Wir erwarten von Ihnen eine 
genaue und neutrale mündliche Über- 
setzung der Gesprächsinhalte“ (Daniel 
Karmann, Datenschutz: Bamf lehn- 
te Spracherkennungsprogramme ab, 
Jungefreiheit.de 26.05.2017). 


Bund 


Städte- und Gemeinde- 
bund gegen „Datenkapi- 
talismus“ 


Der deutsche Städte- und Gemein- 
debund fordert ein Regelwerk zur Nut- 
zung von Daten, so Hauptgeschäfts- 
führer Gerd Landsberg: „Wir brauchen 
ein Digitalgesetzbuch, am besten ein 
europäisches. Darin muss geordnet 
sein, wem welche Daten gehören, wer 
daran welche Rechte hat und wie der 
Datenschutz gesichert ist.“ Google 
und Apple verschafften sich bereits 
Zugriffe auf lukrative Daten. „Das 
kann zu einem Digitalkapitalismus 
führen. Den müssen wir verhindern.“ 
Die Digitalisierung sei eine Riesen- 
chance für die Kommunen. „Nur sie 
haben so viele Daten von den Bürgern. 
Wir wissen, wie viel Wasser sie ver- 
brauchen, wie groß die Wohnung ist, 
welches Auto sie fahren. Das muss 
man im Sinne der Bürger nutzen.‘ Für 
Parkhausbetreiber könnten zum Bei- 
spiel Verkehrsdaten sehr interessant 
sein. Der baden-württembergische 
Gemeindetagspräsident Roger Kehle 
verglich die Digitalisierung mit der 
industriellen Revolution: „Wir müssen 
uns auf den Weg machen, diese Dinge 
zu gestalten“ (Gemeindebund warnt 
vor „Digitalkapitalismus“, www. 
stimme.de 10.08.2017). 


Bundesweit 


Amazon-Apotheken 
wegen Schweigepflicht- 
verletzung abgemahnt 


Mitte Juni 2017 flatterten in die 
Büros von 41 Versandapotheken, die 
ihre Produkte über Amazon anbieten, 
Abmahnungen wegen Verstoßes ge- 
gen den Datenschutz mit Fristsetzung 
23.06.2017 12 Uhr mittags. Amazon 
reagierte auf die Abmahnungen mit 
einer kurzfristig einberufenen Telefon- 
konferenz. Viele der abgemahnten Ver- 
sandapotheken hatten sich zuvor hil- 
fesuchend an die Amazon-Zentrale in 
München gewendet. Auf der einen Sei- 
te der Leitung saßen die Amazon-An- 
wälte, am anderen Ende die Rechtsan- 
wälte der Versandapotheken. Doch statt 
einer klaren Antwort habe es nur so et- 
was wie ein „Brainstorming“ gegeben, 
berichtete ein enttäuschter Teilnehmer. 
Die Situation sei „unbefriedigend un- 
klar“ geblieben. Irgendwie sei man sich 
dann doch einig geworden, dass kein 
Verstoß gegen den Datenschutz vor- 
liege. Eine Musterantwort hatten die 
Amazon-Anwälte nicht parat, so dass 
jede abgemahnte Apotheke selbst ent- 
scheiden musste. Eine Apotheke hatte 
zunächst einmal ihren Webshop vom 
Netz genommen: „Unsere Internetseite 
wird aktuell neu gestaltet. Für aktuel- 
le Informationen, mehr Kundenservice 
und attraktive Angebote. Wir bitten um 
Ihr Verständnis und etwas Geduld. Be- 
suchen Sie uns bald wieder.“ Andere 
Versandapotheken wiesen dagegen den 
Vorwurf des Verstoßes gegen den Da- 
tenschutz zurück. 

Ins Rollen gebracht hat die Aktion 
Hermann Vogel jr., Inhaber der Win- 
thir-Apotheke in der Nymphenburger 
Straße in München. Dass seit Mai Kun- 
dInnen in München den Expressdienst 
„Prime Now“ auch für Apothekenpro- 
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dukte nutzen können, brachte für ihn 
das Fass zum Überlaufen. Vogel und 
seine Anwälte sind der Ansicht, dass 
der Vertrieb über Amazon gegen den 
Datenschutz verstößt. Die Kanzlei 
fordert von den abgemahnten Apothe- 
ken, alle apothekenpflichtigen Produk- 
te vom Amazon-Portal zu entfernen. 
Branchenkenner schätzen, dass inzwi- 
schen 40% des OTC-Geschäfts der 
Versandapotheken über Amazon läuft. 
Dies wird von einem Versandhändler 
bestätigt: „Von dort kommt jede zweite 
Bestellung.“ Mit der Unterlassungser- 
klärung wäre dieser Kanal verstopft. 
Die Abmahnung wird damit begrün- 
det, dass es verboten ist, Apotheken 
von Nicht-Apothekern zu betreiben. 
Insbesondere Gesundheitsdaten gehör- 
ten zu den besonders schützenswerten 
Informationen, deren Erhebung des- 
halb besonders strengen Vorschriften 
unterliege. Die abgemahnten Versanda- 
potheken seien bei Amazon registriert 
und böten dort Medikamente an. Dar- 
unter befänden sich auch apotheken- 
pflichtige Arzneimittel wie Aspirin, 
Grippostad und Canesten. Amazon sei 
bekanntlich in Luxemburg ansässig. 
In der eigenen Datenschutzerklärung 
führe Amazon aus, „dass und welche 
Daten erhoben werden“ und dass Ama- 
zon Daten auch weitergebe. Beim Kauf 
von Arzneimitteln gehörten dazu auch 
Namen und Adresse des Bestellers und 
der Name des Medikaments: „Aus dem 
Namen des Medikaments lassen sich 
ganz unschwer Rückschlüsse auf die 
Beschwerden des Bestellers ziehen.“ 
Es komme zu einer Datenerfassung 
durch ein Unternehmen, das keinen 
beruflichen Geheimhaltungspflichten 
unterliegt. Es fehle an der notwendigen 
vorherigen Zustimmung der Patienten 
zur Datenweitergabe: „Damit handeln 
Sie als Apotheker, der sich dieses be- 
sonderen Vertriebskanals ‚Amazon‘ 
bedient, rechtswidrig.“ Es liege ein kla- 
rer Rechtsverstoß vor. „Informationen 
über Arzneimittelkäufe und damit über 
Krankheiten von Patienten sind wohl 
völlig unstrittig besonders geschützte 
personenbezogene Daten.“ Die abge- 
mahnten Amazon-Apotheken handel- 
ten vorsätzlich. In der eigenen Daten- 
schutzerklärung weise die Versandapo- 
theke darauf hin, dass sie verpflichtet 
sei, vor einer Datenverarbeitung eine 
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Einverständniserklärung einzuholen. 
Dies „zeigt deutlich, dass hier durch 
Sie sogar vorsätzlich gehandelt wird.“ 
Daher stehe Vogel jr. ein Unterlas- 
sungsanspruch zu (Klein, Abmahnun- 
gen: High-Noon bei Amazon, www. 
apotheke-adhoc.de, 23.06.2017). 


Baden-Württemberg 


Dashcam-Aufnahmen 
führen zu Schadenersatz- 
anspruch 


Erstmals ist es in einem obergericht- 
lichen Verfahren zur einer Verwertung 
von Aufnahmen einer sog. Dashcam in 
einem Kfz-Schadenersatzprozess ge- 
kommen, nachdem das Oberlandesge- 
richt (OLG) Stuttgart die Bilder einer 
solchen im Auto angebrachten Kamera, 
die laufend das Verkehrsgeschehen auf- 
zeichnet, als Beweismittel zuließ. 

Es ging dabei um den Zusammenstoß 
zweier Autos an einer Engstelle: Der 
Kläger fuhr an ein paar rechts parken- 
den Autos vorbei, die Fahrerin eines 
entgegenkommenden Fahrzeugs sah 
ihn zu spät, so dass es zu einer Kolli- 
sion mit einem mehrere tausend Euro 
teuren Blechschaden kam. Auf den Bil- 
dern, die im Gerichtssaal vorgeführt 
wurden, konnte man genau erkennen, 
wie die Frau in letzter Sekunde das 
Steuer nach rechts riss. Zudem ließ 
sich die Geschwindigkeit des Autos 
aus den Aufzeichnungen ablesen. Ohne 
Kamera, so hatte ein Sachverständiger 
im Verlaufe des Verfahrens festgestellt, 
wären die Details des Unfalls nicht auf- 
klärbar gewesen. 

Die Verwertung solcher Dashcam- 
Bilder ist bisher stark umstritten. 
Mehrere unterinstanzliche Gerichte 
lehnten deren Verwertung aus Grün- 
den des Datenschutzes ab, die Mehr- 
zahl hat sich indes dafür ausgespro- 
chen. Das OLG Stuttgart hatte zuvor 
die Nutzung der Bilder im Rahmen ei- 
nes Bußgeldverfahrens mit Beschluss 
vom 4.5.2016 erlaubt (4 Ss 543/15). 
Offen war bisher, ob eine Verwertung 
auch für eine Schadensersatzklage 
zulässig ist. Der Deutsche Verkehrs- 
gerichtstag hatte sich im vergangenen 
Jahr für einen zurückhaltenden Um- 
gang mit Dashcam-Bildern eingesetzt. 


Er plädierte für Kameras, deren Auf- 
nahmen nach kurzer Zeit automatisch 
überschrieben werden. 

Die Position des OLG Stuttgart könn- 
te zu gravierenden Änderungen in der 
Praxis führen: Bisher leiden Prozesse 
um Verkehrsunfälle oft an ungenauen 
Zeugenaussagen und sich widerspre- 
chenden Behauptungen. Das wurde 
auch in der OLG-Verhandlung deutlich. 
Ausschlaggebend für das OLG Stutt- 
gart war nach den Worten des Senats- 
vorsitzenden Hans-Joachim Rast, dass 
die Dashcam lediglich die Straße filmt, 
nicht aber in die Privat- oder gar In- 
timsphäre eindringt; der Eingriff in das 
Persönlichkeitsrecht sei relativ gering. 
„Im öffentlichen Raum muss jeder da- 
mit rechnen, fotografiert oder gefilmt 
zu werden.“ Deshalb seien die Interes- 
sen desjenigen, der seine Ansprüche aus 
einem Autounfall durchsetzen möchte, 
deutlich gewichtiger. 

Ein letztinstanzliches Urteil des Bun- 
desgerichtshofs wird es im konkreten 
Verfahren nicht geben, da die Stuttgar- 
ter Verhandlung ohne Urteil endete: 
Unter dem Eindruck der Aufnahmen 
einigten sich die beiden Beteiligten auf 
einen Vergleich. Das Ergebnis zeigte 
übrigens, dass die Dashcam nicht immer 
nur dem nützt, der sie an seiner Wind- 
schutzscheibe angebracht hat. Der Fah- 
rer musste im konkreten Fall ein Drittel 
des Schadens selbst übernehmen, weil 
er nach Auffassung des Gerichts vor- 
sichtiger an den parkenden Autos hätte 
vorbeifahren müssen (Janisch, Richter 
lassen Auto-Kamera als Beweismittel 
zu, SZ 18.07.2017, 1). 


Bayern 


Verfassungsbeschwerde 
gegen Überwachungsbe- 
fugnisse 


Die Gesellschaft für Freiheitsrechte 
(GFF) hat Anfang August 2017 beim 
Bundesverfassungsgericht (BVerfG) 
in Karlsruhe gegen „uferlose Befug- 
nisse“ des bayerischen Staatsschutzes 
Verfassungsbeschwerde eingelegt. Es 
geht vor allem um Online-Durchsu- 
chungen, _Messenger-Überwachung 
und den Zugriff auf Telekommunika- 
tions- (TK-)Daten. Gut ein Jahr zuvor 
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ist die Reform des bayerischen Verfas- 
sungsschutzgesetzes in Kraft getreten. 
Die Beschwerde richtet sich gegen 
einige der darin enthaltenen umstritte- 
nen Regeln, u. a. gegen das Zugriffs- 
recht des Landesamts für Verfassungs- 
schutz (LfV) auf die von TK-Anbie- 
tern aufbewahrten Verbindungs- und 
Standortdaten. Innenminister Joachim 
Herrmann (CSU) hatte bei dem Geset- 
zesbeschluss eingeräumt, mit diesem 
bundesweiten Novum bei der derzeit 
ausgesetzten Vorratsdatenspeicherung 
an rechtsstaatliche Grenzen zu gehen. 

Das LfV soll, so die GFF, auf die 
sensiblen Informationen „unkontrol- 
lierten Zugriff bekommen“, was vom 
Bundesgesetzgeber keinesfalls vorge- 
sehen gewesen sei. Auch weitere mit 
der Novelle verknüpfte und nun ange- 
griffene Kompetenzen beachteten vom 
Bundesverfassungsgericht aufgestell- 
te Vorgaben nicht. So könnten heim- 
liche Online-Durchsuchungen oder 
eine Quellen-TK-Überwachung von 
WhatsApp und Co. teils schon „gegen 
bloße Kontakt- und Begleitpersonen 
angeordnet werden“. Damit drohe 
eine weitgehende Ausforschung durch 
Staatstrojaner, der Kernbereich priva- 
ter Lebensgestaltung und berufliche 
Vertrauensverhältnisse würden nicht 
hinreichend geschützt. 

Die vom Mainzer Staatsrechtler 
Matthias Bäcker verfasste Klage wen- 
det sich auch gegen die enthaltene 
Lizenz zum großen Lauschangriff per 
akustischer Wohnraumüberwachung 
sowie für den Einsatz verdeckter Er- 
mittler. Unzulässig weit gehen dem- 
nach ferner die Befugnisse des Bayeri- 
schen Staatsschutzes, erhobene Daten 
an inländische und ausländische öf- 
fentliche Stellen, aber auch an Private 
und an Unternehmen zu transferieren. 
Das Verfahren hat laut der GFF Sig- 
nalwirkung: Es gelte, die anderen Län- 
der davon abzuhalten, vergleichbare 
Bestimmungen einzuführen und damit 
verbundene tiefe Grundrechtseingriffe 
zu erlauben. Beschwerdeführer sind 
mehrere Personen, die Organisatio- 
nen angehören, die in Bayern bereits 
geheimdienstlich überwacht wurden 
(Krempl, Verfassungsbeschwerde ge- 
gen Bayerntrojaner und ausgeweitete 
Vorratsdatenspeicherung, www.heise. 
de 08.08.2017). 
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Bremen, Brandenburg u.a. 


Sommer und Hartge wie- 
dergewählt 


Die brandenburgische Landesdaten- 
schutzbeauftragte Dagmar Hartge trat 
am 29.06.2017 ihre dritte Amtszeit an, 
nachdem sie an diesem Tag für weitere 
sechs Jahre mit großer Mehrheit ohne 
vorherige Debatte und Anhörung vom 
brandenburgischen Landtag im Amt 
bestätigt wurde. Sie wird 2018 über 
32 Personalstellen verfügen, vor zehn 
Jahren waren es 18. Hartges Behörde 
war am Zertifizierungsprojekt „Trus- 
ted Cloud“ des Bundeswirtschaftsmi- 
nisteriums beteiligt und setzt auf das 
Standard-Datenschutz-Modell (SDM), 
um „Privacy by Design“ künftig besser 
umsetzen zu können. Nach Ansicht von 
Hartge muss das SDM nach der Erpro- 
bungsphase auch rasch auf europäischer 
Ebene etabliert werden. 

Die Bremer Datenschutzbeauftrag- 
te Imke Sommer wurde zwei Wochen 
zuvor von der Bremer Bürgerschaft für 
weitere acht Jahre im Amt bestätigt. 
Auch hier gab es vor der Wahl keine 
öffentliche Anhörung der Kandidaten. 
Bisher sehen die gesetzlichen Regelun- 
gen in Deutschland kein transparentes 
Bestellungsverfahren vor. Die Verwal- 
tungsjuristin Sommer will sich für eine 
stärkere Transparenz von Algorithmen 
in Big-Data-Anwendungen einsetzen: 
„Um entscheiden zu können, welche 
Nutzung unserer Daten in Ordnung ist 
und welche nicht, müssen wir die we- 
sentlichen Eigenschaften der vermeint- 
lich smarten Scorings kennen, die die 
überall über uns zusammengesammel- 
ten Daten interpretieren.“ Nur „wenn 
wir unzulässige Verknüpfungen kennen, 
können wir sie zurückweisen.“ 

Ein Gutachten des „Netzwerks Da- 
tenschutzexpertise“ stellt fest, dass die 
Neigung, eine AmtsinhaberIn wieder- 
zuwählen, stark ausgeprägt ist. Die 
2016 verabschiedete europäische Da- 
tenschutzgrundverordnung, die ab Mai 
2018 umgesetzt werden muss, verlangt 
ein fair gestaltetes, „transparentes Ver- 
fahren“. Möglich wäre dies durch eine 
öffentliche Ausschreibung, eine öffentli- 
che Anhörung der Bewerber sowie eine 
öffentliche parlamentarische Ausspra- 
che vor der Wahl. Auch gab es sowohl 


in Brandenburg wie auch in Bremen 
mehrere Kandidaten. Doch eine öffent- 
liche Anhörung sowie Aussprache gab 
es jeweils nicht. 

In Sachsen-Anhalt darf der derzeiti- 
ge Amtsinhaber Harald von Bose nicht 
zum dritten Mal gewählt werden. Sei- 
ne Amtszeit ist bereits seit März 2017 
abgelaufen, doch hat sich der Landtag 
noch nicht um eine Neubesetzung ge- 
kümmert. Von Boses Amtsvorgänger 
Klaus-Rainer Kalk musste noch über 
ein Jahr nach Ablauf seiner zweiten 
Amtszeit die Behörde führen. In Ba- 
den-Württemberg war der Posten des 
Amtsleiters 2016 fast acht Monate lang 
vakant, bevor Stefan Brink zum Leiter 
gewählt wurde. Aus anderen Bundes- 
ländern sind noch längere Übergangs- 
zeiträume bekannt (Schulzki-Haddouti, 
Brandenburger Landesdatenschutzbe- 
auftragte wiedergewählt, www.heise.de 
29.06.2017; siehe auch das Portrait von 
Schulzki-Haddouti auf  https://www. 
datenschutzbeauftragter-online.de/ 
datenschutzbeauftragte-brandenburg- 
zaeh-kompromissbereit/10853/). 


Nordrhein-Westfalen 


Fitnesscenter McFit lässt 
mit Daten zahlen 


McFit plant in Oberhausen auf 55.000 
Quadratmetern in den ehemaligen Thys- 
senhallen den weltweit größten Fitness- 
Park mit dem Projekttitel „The Mirai“, 
was unter Rückgriff auf das Japanische 
„Die Zukunft“ bedeutet. Gemäß einer 
Pressemitteilung beschwört McFit die 
„Vision“ eines Ortes der „Inspiration, 
Kreativität und Motivation“. Fitness soll 
für jeden Menschen zugänglich gemacht 
werden - unabhängig von Herkunft, Alter 
oder Einkommen. Deshalb soll es auch 
keine monatlichen Mitgliedsbeiträge 
geben. McFit-Gründer Rainer Schaller 
erklärte: „Durch das direkte Zusammen- 
bringen von Industrie und Menschen 
wird jedem die Möglichkeit geboten, 
Fitness ohne Mitgliedsbeiträge zu betrei- 
ben.“ 

Verdienen möchte McFit bei dem meh- 
rere Millionen Euro kostenden Projekt 
dadurch, dass die bei den Nutzenden 
anfallenden Daten ausgewertet werden. 
Die Antwort auf die Frage, ob die Daten 
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verkauft werden: „Das ist so nicht kor- 
rekt. Wir werden keine Daten verkau- 
fen. Wir wollen bei The Mirai fundierte 
Grundlagenforschung betreiben und eine 
einzigartige Bestandsaufnahme der Trai- 
nierenden einholen, die bisher - wenn 
überhaupt - nur sehr lückenhaft exis- 
tiert.‘“ Bislang gebe es „kaum Daten, die 
für die Gesundheits-, Fitness- und viele 
artverwandten Branchen sehr nützlich 
sind“. Man plane eine umfassende Stu- 
die in Zusammenarbeit mit Datenschutz- 
beauftragten, „um alle Bestimmungen 
einzuhalten und für alle Beteiligten ein 


bestmögliches Ergebnis zu erzielen“. 

Auf die Frage, was mit den Daten der 
Trainierenden passiert, erklärte Mirai- 
Geschäftsführer Ralph Scholz lediglich: 
„Wir werden die Datenschutzbestim- 
mungen selbstverständlich einhalten und 
uns auch gegen Hackerangriffe schützen. 
Bitte haben Sie Verständnis, dass wir 
zum jetzigen Zeitpunkt noch keine weite- 
ren Details veröffentlichen können“ (Sie- 
ben, Mega-Sportzentrum „The Mirai“ 
in Oberhausen: Will McFit mit deinen 
Fitnessdaten Geschäfte machen? www. 
derwesten.de 31.08.2017). 


Datenschutznachrichten aus dem Ausland 


Weltweit 


Banken nutzen Problem- 
Datenbank „World- 
Check“ 


Der weltweit agierende Informations- 
und Medienkonzerns Thomson-Reuters, 
zu dem auch die Nachrichtenagentur 
Reuters sowie verschiedene Fachinfor- 
mationsdienste gehören, betreibt die 
Datenbank World-Check. World-Check 
ist einer von wenigen großen Anbietern 
für Informationen über potenziell pro- 
blematische Kunden für Banken und 
Finanzdienstleister, sogenannte poli- 
tisch exponierte Personen, kurz PEPSs, 
Schwerkriminelle, Geldwäscher und 
Terrorverdächtige. Die Datenbank ent- 
hält mehr als zwei Millionen Profile 
zu Einzelpersonen und Organisationen. 
Vor allem Banken haben ein großes In- 
teresse daran, zu erfahren, mit wem sie 
Geschäfte machen, um nicht in Geldwä- 
sche oder Terrorfinanzierung verwickelt 
zu werden. Besteht der Verdacht, dürfen 
sie sogar ein Basiskonto verweigern. 

Zugriff auf World-Check haben nur 
Unternehmen die zuvor zahlreiche 
Checks durchlaufen haben und Ver- 
schwiegenheitserklärungen abgeben. 
Thomson-Reuters behauptet, 49 der 50 
größten Banken nutzten den Dienst. Das 
Abo hierfür soll bis zu eine Million Euro 


166 


jährlich kosten. 2016 stieß der amerika- 
nische Sicherheitsexperte Chris Vicke- 
ry auf mehr als zwei Millionen Profile 
aus dieser Datei mit Stand aus dem Jahr 
2014, die durch ein Sicherheitsleck auf 
einen Internet-Server gelangt waren. 
World-Check wirbt mit: „Finden Sie 
versteckte Risiken“. 

Ein gewaltiges Risiko ist die Datei für 
diejenigen, die in ihr gespeichert sind. 
Dabei handelt es sich offensichtlich oft 
um Unschuldige, also um Menschen und 
Organisationen, gegen die einmal er- 
gebnislos ermittelt wurde, oder die um- 
stritten und unbequem sind, aber nicht 
kriminell, etwa die Menschenrechtsor- 
ganisation Human Rights Watch oder 
die Tierschützer von Peta. Lokalpoliti- 
ker, Dissidenten sowie Kinder und Ver- 
wandte von politischen Persönlichkei- 
ten tauchen auf sowie Verstorbene. Der 
Eindruck, dass Profile auf teils zweifel- 
haften Quellen beruhen und mangel- 
haft gepflegt sind, entstand für einen 
journalistischen Rechercheverbund, der 
Einblick in die Datenbank erlangte. Wer 
bei Dienstleistern wie World-Check ei- 
nen Eintrag hat, womöglich noch mit 
einem so schweren Vorwurf wie Terror- 
Verbindungen, kann schon bei einfachen 
Bankgeschäften große Schwierigkeiten 
bekommen. 

Ein Beispiel hierfür ist Andrej Holm, 
der bis Sommeranfang 2017 von sei- 
ner Speicherung keine Ahnung hatte. 


Er wollte ein zusätzliches Girokonto 
eröffnen, um die Buchhaltung zu ver- 
einfachen und seine freiberufliche Tä- 
tigkeiten gesondert abzurechnen. Holm 
ist ein renommierter Soziologe und war 
kurzzeitig Baustaatssekretär in der Ber- 
liner Landesregierung. Weil Holm keine 
Kontogebühren zahlen wollte, wandte 
er sich an die Norisbank. Er bekam eine 
Kontonummer und eine EC-Karte, kurz 
darauf aber einen Brief: Die Norisbank 
wolle ihn nun doch nicht als Kunden, es 
werde keine Geschäftsbeziehung geben. 
Als Holm nachfragte warum, erhielt er 
keine Antwort. Jahrelang blieb unklar, 
warum die Norisbank Holm nicht als 
Kunden haben wollte. Eigentlich hatte 
er die Sache auch fast schon vergessen. 
Nun aber gibt es offenbar eine Erklä- 
rung dafür: Der linke Wissenschaftler 
und Politiker bekam sein Konto wohl 
deshalb nicht, weil er wegen „mutmaß- 
licher Terror-Verbindungen“ auf einer 
internationalen schwarzen Liste steht. 

2006 hatte die Bundesanwaltschaft 
Holm im Verdacht, mitverantwortlich 
für linke Brandanschläge zu sein. Ende 
August 2007 waren sich die Ermittler so 
sicher, dass sie Holm nach ausgiebiger 
Überwachung wegen des Verdachts auf 
Mitgliedschaft in einer terroristischen 
Vereinigung verhafteten. Drei Wochen 
saß er in Haft, dann kam er wieder frei. 
Im Sommer 2010 wurden die Ermittlun- 
gen schließlich komplett ohne Verurtei- 
lung oder Strafe eingestellt. Holm wur- 
de für seine Haft entschädigt, auf seinen 
Arbeitsplatz an der Uni hatte die Sache 
keinen Einfluss. 

Für Staat und Justiz war er unschul- 
dig, nicht aber für World-Check. Die ge- 
sichtete Version der Datenbank stammt 
aus dem Jahr 2014, also vier Jahre, 
nachdem alle Vorwürfe gegen Holm fal- 
len gelassen wurden. In der Kartei findet 
sich davon aber kein Wort, das letzte 
Update zu seinem Profil stammt vom 
29.07.2008. Thomson-Reuters wirbt für 
seinen Dienst damit, dass neben Algo- 
rithmen auch 250 Analysten monatlich 
25.000 neue Profile anlegen und 40.000 
Profile auf den neuesten Stand bringen. 
Holms Profil enthält Fehler: So heißt es 
dort, er sei auf Kaution auf freiem Fuß, 
tatsächlich aber hatte er Haftverscho- 
nung erhalten, was juristisch ein be- 
deutender Unterschied ist. Auf Anfrage 
gab die Norisbank an, Namenslisten zu 
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prüfen, beantwortete aber konkrete Fra- 
gen nicht und berief sich hierzu auf den 
Datenschutz. 

Konfrontiert mit den Recherche-Er- 
gebnissen, äußert sich auch Thomson- 
Reuters — ebenfalls mit Verweis auf den 
Datenschutz — nur sehr zurückhaltend. 
Die Informationen für World-Check 
stammten vor allem aus Hunderten Re- 
gierungs- und Justizdatenbanken, von 
Aufsichts- und Strafverfolgungsbehör- 
den, der EU und den Vereinten Natio- 
nen. Weitere Informationen, etwa aus 
Weblogs, flössen nur zur Bestätigung 
anderer Erkenntnisse ein und seien 
klar gekennzeichnet. Die Erkenntnisse 
würden dann von Teams spezialisierter 
Mitarbeiter zusammengeführt und ab- 
geglichen. Zudem bedeute ein Eintrag 
bei World-Check nicht, dass jemand tat- 
sächlich schuldig sei. 

Hamburgs Datenschutzbeauftragter 
Johannes Caspar erklärte, dass derarti- 
ge Datenbanken nach deutschem Recht 
„hierzulande so nicht zulässig“ sind. Es 
handle sich um eine Auskunftei, in der 
nur bestimmte überprüfte Daten gesam- 
melt werden dürfen. Daher sei auch der 
Abruf von Daten durch deutsche Unter- 
nehmen bei World-Check rechtlich pro- 
blematisch. Dies hindert aber viele Ins- 
titute in Deutschland, beispielsweise die 
meisten großen Privatbanken sowie fast 
alle Genossenschaftsbanken, nicht, den 
Dienst zu nutzen. Gerechtfertigt wird 
dies damit, dass die Institute gesetzlich 
verpflichtet sind, besonders sorgsam bei 
Geschäften mit politisch exponierten 
Personen zu sein. Wer in diese Katego- 
rie fällt, ist offen. Die Deutsche Kredit- 
wirtschaft als Dachverband der Branche 
forderte deshalb auf Anfrage die „Schaf- 
fung verbindlicher und abschließender 
Listen“ durch die EU. Auch in der Bran- 
che ist World-Check wegen der ungenü- 
genden Datenqualität umstritten. 

Andrej Holm kommentierte seinen 
Fall: „Ich weiß, was es heißt als Terror- 
verdächtiger zu gelten. Das zieht schnell 
weite Kreise, das sieht man ja an diesem 
Fall.“ Das sei viel beunruhigender als der 
Schaden, den er hatte. Es bleibe ein „Ge- 
fühl des Ausgeliefertseins“. Er verstehe 
den Wunsch, Schwerkriminelle zu über- 
wachen. „Aber ein unbewiesener oder 
sogar widerlegter Verdacht darf niemals 
ausreichen, um auf solch einer Liste zu 
landen.“ Holm bekam damals übrigens 
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noch ein zweites Konto bei seiner alten 
Hausbank, der Berliner Sparkasse (Ra- 
domsky/Klofta, Auf der schwarzen Lis- 
te der Banken, www.sueddeutsche.de 
24.06.2017 = Gefangen auf der schwar- 
zen Liste, SZ 24./25.06.2017, 25). 


Weltweit 


Google will auf Mail- 
Inhaltskontrolle für Wer- 
bezwecke verzichten 


1,2 Milliarden Menschen haben ei- 
nen E-Mail-Account bei Google. Dieses 
Gmail-Angebot ist nicht nur erfolgreich, 
sondern wird aus Verbraucherschutz- 
und Datenschutzgründen heftig. kriti- 
siert, u. a. weil alle eingehenden E-Mails 
automatisch gescannt wurden, um per- 
sonalisierte Werbung anzuzeigen. Damit 
soll jetzt Schluss sein. Im Firmenblog 
kündigte die Google-Managerin Diane 
Greene an, dass Privatnutzende keine 
Werbung mehr angezeigt bekommen 
sollen, die auf den Inhalten der E-Mails 
ihres Gmail-Kontos basiert. Wer bislang 
etwa Suchaufträge bei Immobilienporta- 
len erstellt hatte und sich passende Miet- 
wohnungen per E-Mail schicken ließ, 
dem blendete Google möglicherweise 
Werbeanzeigen von Immoscout, Immo- 
welt oder WG-Gesucht ein. 

Die Ankündigung enthält keine An- 
gaben über den Zeitpunkt der geplanten 
Änderung. Gemäß Greene soll die Um- 
stellung „im Laufe des Jahres“ erfolgen. 
Dann soll sich die Werbung, die inner- 
halb von Gmail eingeblendet wird, nach 
den allgemeinen Anzeigeneinstellungen 
des jeweiligen Google-Nutzers richten. 
Hierfür bietet Google seit 2 Jahren die 
Seite „Mein Konto“ an, wo alle Einstel- 
lungen für Privatsphäre und Sicherheit 
gebündelt sind. Nutzende können z. B. 
den Such- und Wiedergabeverlauf von 
Youtube-Videos löschen, die Weiter- 
gabe von persönlichen Daten an das 
Analyse-Werkzeug Google Analytics 
untersagen oder eben interessenbezo- 
gene Werbung deaktivieren. Auf der 
Unterseite „Einstellungen für Werbung“ 
können Nutzende den Schieberegler auf 
„Aus“ stellen. 

Unabhängig von Googles Ankündi- 
gung werden also alle Gmail-Nutzenden 
weiterhin Werbung geschaltet bekom- 


men. In der Standardeinstellung rich- 
ten sich die Anzeigen nach früheren 
Google-Suchen, vermuteten soziodemo- 
graphischen Merkmalen, dem Standort- 
verlauf des Smartphones und anderen 
Faktoren. Künftig soll der E-Mail-Inhalt 
insofern keine Rolle mehr spielen. Wer 
überhaupt keine personalisierten An- 
zeigen ausgeliefert bekommen möchte, 
muss das unter „Mein Konto“ angeben. 

Der Verbraucherzentrale Bundesver- 
band (vzbv) hatte Anfang 2016 Google 
wegen der Scan-Praxis, ohne dass die 
Nutzenden ausreichend darüber aufge- 
klärt werden, abgemahnt. Bereits 2011 
hatte der damalige Berliner Daten- 
schutzbeauftragte Alexander Dix fest- 
gestellt, dass die Praxis von Google das 
Fernmeldegeheimnis verletzt. Offiziell 
begründet das Unternehmen den Kurs- 
wechsel mit dem Erfolg von G Suite, ei- 
nem kostenpflichtigen Angebot für Ge- 
schäftskunden. Dort verzichtet Google 
darauf, E-Mails zu Werbezwecken zu 
scannen. Angeblich führten die unter- 
schiedlichen Vorgehensweisen zu Ver- 
wirrung bei Unternehmen, die sich für 
G Suite interessierten, weshalb Google 
die Praxis vereinheitlichen wolle, um 
Missverständnisse zu verhindern und 
potenzielle Geschäftskunden nicht ab- 
zuschrecken. 

Auch in Zukunft werden Algorithmen 
E-Mails bei Gmail analysieren, um Spam 
und Malware auszufiltern, Informationen 
für Googles persönlichen Assistenten zu 
gewinnen oder E-Mails automatisch in 
bestimmte Kategorien einzusortieren. 
Alternativen mit besserem Datenschutz 
sind etwa die deutschen Anbieter Posteo 
und Mailbox.org oder Protonmail aus der 
Schweiz. Diese kosten zwischen einem 
und vier Euro pro Monat und finanzie- 
ren sich nicht durch Werbung (Google 
will E-Mails nicht mehr zu Werbezwe- 
cken scannen, www.sueddeutsche.de 
25.06.2017; Hurtz, Schluss mit Scannen, 
SZ 26.06.2017, 21). 


Frankreich 


CNIL verhängt erstmals 
Bußgeld wegen Daten- 
panne 


Der Autovermieter Hertz muss 
40.000 € an die französische Staatskas- 
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se zahlen, weil Daten von über 35.000 
KundInnen offen über seine Webseite 
zugänglich waren. Die Datenschutz- 
aufsichtsbehörde, die Commission Na- 
tionale de I‘Informatique et des Liber- 
tes (CNIL), nutzte damit erstmals eine 
neue Sanktionsmöglichkeiten bei Da- 
tenschutzpannen. Seit November 2016 
kann die CNIL gemäß dem „Gesetz für 
eine digitale Republik“ Datenschutz- 
verstöße mit Geldbußen ahnden. Zuvor 
durfte sie nur Warnungen aussprechen. 
Beim erstmaligen Gebrauch dieser 
neuen Option traf es den Autovermieter 
Hertz mit der 40.000 €-Strafe. 

Oktober 2016 waren persönliche Da- 
ten wie Name, Kontaktdetails und Füh- 
rerscheinnummern von 35.357 Websi- 
te-Nutzenden bei www.cartereduction- 
hertz.com frei zugänglich. InhaberIn- 
nen einer Rabattkarte der Firma können 
über das Portal Vergünstigungen in An- 
spruch nehmen. Mitarbeiter der CNIL 
hatten durch einen Hinweis von dem 
Leck erfahren. Sie setzten Hertz umge- 
hend von dem Fund in Kenntnis. Die 
Zuständigen dort alarmierten die Ver- 
tragsfirma, die für die Entwicklung der 
Seite zuständig war. Diese habe umge- 
hend die nötigen Schritte eingeleitet, 
um das Datenleck zu stopfen. 

Bei genaueren Untersuchungen fan- 
den die Prüfer nach eigenen Angaben 
heraus, dass die Panne die Folge eines 
Fehlers während eines Serverwechsels 
war. Dabei sei eine Codezeile gelöscht 
worden, sodass die ausgefüllten For- 
mulare der Teilnehmer an dem Ra- 
battprogramm wieder angezeigt wer- 
den konnten. Bei dem eingeleiteten 
Sanktionsverfahren und der nun gegen 
die französische Tochterfirma des US- 
Konzerns verhängten Strafe hat die 
CNIL nach ihrer Lesart berücksichtigt, 
dass der Autoverleiher rasch reagiert, 
gut mit dem Amt zusammengearbeitet 
sowie ein umfassendes Datenschutzau- 
dit eingeleitet habe. Von Mai 2018 an 
können Aufsichtsbehörden aller EU- 
Mitgliedsstaaten gemäß der Daten- 
schutz-Grundverordnung Bußgelder 
bis zu 20 Millionen Euro beziehungs- 
weise bei Konzernen bis zu vier Pro- 
zent des weltweiten Umsatzes des Vor- 
jahres verhängen (Krempl, Frankreich: 
Datenschutzbehörde verhängt erstmals 
Geldstrafe für Datenpanne, www.heise. 
de 28.07.2017). 
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Schweden 


Regierungskrise nach 
„Datenskandal“ 


In Schweden hat die Auslagerung 
sensibler Daten eine Krise der rot- 
grünen Minderheitsregierung und eine 
Kabinettsumbildung ausgelöst. Unter 
dem Druck der Opposition traten am 
27.07.2017 zwei Minister zurück, ver- 
bunden mit der Ankündigung des so- 
zialdemokratischen Regierungschefs 
Stefan Löfven, er werde das Land 
nicht in eine politische Krise stürzen. 
Er werde nicht zurücktreten und auch 
keine Neuwahl ausrufen. Ministerprä- 
sident Löfven nahm die Rücktrittsge- 
suche von Innenminister Anders Yge- 
man und Infrastrukturministerin Anna 
Johansson an. Verteidigungsminister 
Peter Hultgvist hingegen bleibe trotz 
der Rücktrittsforderung der Opposition 
im Amt, denn er trage keine Verantwor- 
tung für den Skandal. 

Den Oppositionspolitikern zufolge 
soll auch Hultqvist es versäumt haben, 
Lövfen über das Datenleck informiert 
zu haben, obwohl er selbst davon bereits 
Anfang 2016 gewusst habe. Auslöser für 
die Empörung der Opposition war die 
Entscheidung der staatlichen Verkehrs- 
behörde, ihre IT-Verwaltung 2015 an den 
Computerkonzern IBM auszulagern, um 
Geld zu sparen. IBM wiederum beauf- 
tragte Subunternehmen unter anderem 
in Tschechien und Rumänien. Deren IT- 
Spezialisten hatten damit trotz fehlender 
Sicherheitsüberprüfung Zugang zu sen- 
siblen Daten des schwedischen Militärs 
und der Führerscheinbehörde, u. a. das 
Register mit den Daten aller Fahrzeuge 
und FührerscheinbesitzerInnen im Land 
inclusive Foto. Laut Schwedens Nach- 
richtendienst Säpo gehörten zu den Da- 
ten auch Angaben über das Straßennetz, 
Brücken, das U-Bahnsystem sowie über 
militärische Fahrzeuge. Gemäß Medi- 
enberichten könnten auch Daten über 
vorbestrafte oder verdächtige Personen 
betroffen sein, die Wege von gepanzer- 
ten Fahrzeugen für Personen, die unter 
besonderem Schutz stehen, über ver- 
deckte Ermittler und über die Routen 
von Geldtransportern. 

Welches Ausmaß das Leck tatsäch- 
lich hatte, ist noch ungewiss. Jonas 
Bjelfvenstam, der neue Chef der Ver- 


kehrsbehörde, nannte die Medienbe- 
richte übertrieben und ungenau. Die 
Server hätten stets in Schweden gestan- 
den und die Behörde habe die meisten 
geheimen Register militärischer Fahr- 
zeuge selbst betreut. Die Verkehrsbe- 
hörde beteuerte zudem, dass bisher 
nichts auf einen Missbrauch der Daten 
hindeute. Es solle darauf hingewirkt 
werden, dass nur noch autorisierte Per- 
sonen Zugang zu ihnen haben. 

Der Vorgang war öffentlich geworden, 
weil die frühere Chefin der Verkehrsbe- 
hörde Maria Ägren im Januar 2017 we- 
gen der Auslagerung gekündigt und zu 
einer Geldstrafe verurteilt worden war. 
Sie hatte die Datenauslagerung unter 
Zeitdruck vorangetrieben und Warnun- 
gen des Nachrichtendienstes ignoriert. 
Premierminister Löfven gab an, erst im 
Januar von der Sache erfahren zu haben. 
Säpo untersuchte den Fall, erste Ergeb- 
nisse wurden Ende Juli 2017 veröffent- 
licht. Löfven bezeichnete die Vorgänge 
als „Desaster“: „Das ist unglaublich 
ernst. Es ist eine Verletzung des Geset- 
zes und bringt schwedische Bürger in 
Gefahr.“ 

Verteidigungsminister Hultqvist er- 
klärte, er habe „alle nötigen Maßnah- 
men“ ergriffen, um die Folgen für das 
Militär zu begrenzen. Es liege jetzt an 
anderen zu entscheiden, ob sie ein Miss- 
trauensvotum vorantreiben wollten. Die 
Aufsicht über die Verkehrsbehörde hat 
in Schweden das Infrastrukturministe- 
rıum. Die bisherige Ministerin Johans- 
son räumte ein, sie habe dabei Fehler 
gemacht. 

Die Oppositionsparteien hatten den 
Rücktritt aller drei Minister gefordert 
und zeigten sich unzufrieden, so dass ein 
Misstrauensvotum für Löfvens Regie- 
rung droht, der das Land mit den Grünen 
seit 2014 in einer Minderheitsregierung 
mit 138 von 349 Mandaten regiert. Die 
nächsten Wahlen finden planmäßig im 
September 2018 statt. Eine oppositio- 
nelle bürgerliche Viererallianz (Modera- 
te, Liberale Volkspartei, Christdemokra- 
ten und Zentrumspartei) hat bereits ihre 
Bereitschaft zur Übernahme der Regie- 
rungsgeschäfte erklärt. Sie wäre im 
Parlament allerdings auf die Unterstüt- 
zung der rechtspopulistischen Schwe- 
dendemokraten unter Parteichef Jimmie 
Äkesson angewiesen (Schwedens Pre- 
mier Löfven droht Misstrauensvotum, 
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www.tagesspiegel.de 28.07.2017; Bi- 
galke, Krisenmanager in der Krise, SZ 
28.07.2017, 4). 


Neuseeland 


Domain-Angaben werden 
besser geschützt 


Die neuseeländische Domain Name 
Commission (DNC) verstärkt ihre Be- 
mühungen um mehr Datenschutz: Mit 
Wirkung vom 28.11.2017 können na- 
türliche Personen frei wählen, ob ihre 
Telefonnummer und ihre Adresse im 
öffentlich einsehbaren WHOIS recher- 
chierbar ist. Voraussetzung ist, dass sie 
als Verbraucher handeln, also nicht ge- 
schäftlich tätig sind. Damit verschwin- 
den sie zwar nicht aus dem WHOIS, 
sind aber schwerer aufzufinden. Dieser 
zusätzliche Service muss von allen .nz- 
Registraren ab spätestens 28.03.2018 
angeboten werden. Bis dahin haben das 
Registry wie auch die Registrare Zeit, 
ihre Systeme entsprechend umzustellen 
(Hitzelberger, Neuseeländische-Endung 
.nz erhält mehr Datenschutz, domain- 
recht.de 21.06.2017). 


USA 


FBI warnt vor „intelligen- 
tem“ Spielzeug 


Das Federal Bureau of Investigation 
(FBI), die US-Bundespolizei, hat Mitte 
Juli 2017 eine öffentliche Warnung vor 
vernetztem Spielzeug ausgesprochen. 
Smarte Spielsachen und Unterhaltungs- 
geräte für Kinder, etwa Puppen, Teddy- 
bären, Kuscheltiere, beinhalten als sog. 
„Cloud Pets‘ „typischerweise Sensoren, 
Mikrophone, Kameras, Datenspeicher 
und andere Multimediafähigkeiten, 
samt Spracherkennung und GPS. Mit 
diesen Pets können Sprachnachrichten 
aufgenommen und abgespielt werden 
und ermöglichen z. B. entfernt wohnen- 
den Großeltern, den Enkeln Herzens- 
grüße und Dönnekens von Annodunne- 
mals mitzuteilen. Dies kann aber auch, 
so das FBI, die Privatsphäre und Sicher- 
heit von Kindern sowie der ganzen Fa- 
milie gefährden, weil eine große Menge 
persönlicher Informationen unwissent- 
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lich offengelegt werden kann. Ein Mik- 
rophon kann beispielsweise in Hörweite 
des Geräts geführte Unterhaltungen auf- 
zeichnen und dabei etwa den Namen des 
Kindes, dessen Schule, Vorlieben und 
Aktivitäten in Erfahrung bringen. Häu- 
fig richten Inhaber Nutzerkonten ein, 
verraten dabei Name, Geburtsdatum 
und Adresse und laden bisweilen sogar 
Bilder hoch. „Darüber hinaus sammeln 
Firmen große Mengen zusätzlicher Da- 
ten, wie Sprachmitteilungen, Unterhal- 
tungen, Bewegungsmuster, die Internet 
History und IP-Adressen“. Damit steige 
die Gefahr, dass das Kind Opfer eines 
Identitätsdiebstahls werde. Auch Kin- 
desmissbrauch werde erleichtert: Ein 
Angreifer könne sich mit Informationen 
aus Bildern und Videos, den GPS-Daten 
und den Vorlieben eines Kindes dessen 
Vertrauen erschleichen. 

Mit der Sicherheit der vernetzten Ge- 
räte ist es, so das FBI, oft nicht weit her: 
„Sicherheitsvorkehrungen für solche 
Spielsachen können in der Eile, da- 
mit auf den Markt zu kommen und sie 
einfach nutzbar zu machen, übersehen 
werden“. Und oft erhält nicht nur der 
Hersteller Zugriff auf sensible Daten, 
sondern auch dessen Dienstleister, etwa 
der Betreiber eines Spracherkennungs- 
dienstes. Für Erwachsene, die Kindern 
trotzdem vernetzte Spielsachen schen- 
ken wollen, empfiehlt das FBI: „Infor- 
mieren Sie sich im Voraus eingehend 
über bekannt gewordene Sicherheitslü- 
cken und lesen Sie das Kleingedruck- 
te. Spielen Sie alle Sicherheitsupdates, 
sofern verfügbar, ein. Lassen Sie das 
Gerät nur über vertrauenswürdige Inter- 
netzugänge online gehen. Beobachten 
Sie das Kind beim Spielen genau, wofür 
manche Spielsachen eine entsprechende 
Eltern-App anbieten. Achten Sie darauf, 
dass das Spielgerät komplett ausge- 
schaltet ist, wenn gerade nicht damit ge- 
spielt wird. Sparen Sie mit Ihren Daten 
und machen Sie bei etwaigen Nutzer- 
konten nur die minimal erforderlichen 
Angaben. Diese sichern Sie bitte mit 
einem starken Passwort, das nicht auch 
noch anderswo verwendet wird.“ Die 
Eltern sollten erkunden, mit welcher 
Verschlüsselung die Daten übermittelt 
und von den Herstellern aufgezeich- 
net werden und wie diese beleumundet 
sind. Der Umstand, dass das FBI erst- 
mals eine solche Warnung aussprach, 


weist darauf hin, dass die genannten Si- 
cherheitslücken gravierend sind. 

In Deutschland sind Geräte wie die 
Puppe Cayla, so die Bundesnetzagentur 
im Dezember 2016, die Sprachaufnah- 
men macht und zwecks Spracherken- 
nung auf einen Server lädt, illegal. Käu- 
fer müssen solche Puppen und ähnliche 
versteckte Spionagegeräte von Rechts 
wegen „unschädlich machen“ (vgl. 
DANA 1/2017, 42 ff.; Sokolov, FBI 
warnt vor vernetztem Spielzeug, www. 
heise.de 20.07.2017; Graff, Vorsicht! 
Teddy hört mit, SZ 21.078.2017, 9). 


USA 


Staubsaugerroboter als 
Datensammler? 


Der US-Hersteller iRobot will die Da- 
ten, die seine Roomba-Staubsaugerrobo- 
ter über die Wohnungen der KundInnen 
sammelt, an Amazon, Apple oder Goog- 
le verkaufen. iRobot-Chef Colin Angle 
erklärte, dass ein derartiger Deal in den 
nächsten Jahren eingefädelt werden 
könnte. Die Daten sollten den Markt der 
Smart-Home-Geräte _revolutionieren. 
Die bei der Reinigungsarbeit gesammel- 
ten detaillierten Daten der Wohnungen 
ermöglichen nicht nur das Erstellen ei- 
nes Grundrisses, sondern kartieren z.B. 
genau, wo etwa Sofas und Schränke 
stehen. Mit diesen Daten könnten etwa 
smarte Lautsprecher oder Heizungssys- 
teme besser auf die Gegebenheiten ein- 
gestellt werden. Angle gesteht ein, dass 
das große datenschutzrechtliche Fragen 
aufwerfen dürfte. Er sichert zu, dass sein 
Unternehmen diese Daten nicht ohne 
Einwilligung der Nutzenden verkaufen 
wolle. Die würden dem aber sowieso 
zustimmen, um ihr Smart Home smarter 
zu machen. 

Robotik-Forscher Guy Hoffman von 
der Cornell University meint, eine sol- 
che Kooperation wäre ein Durchbruch. 
Gegenwärtig agierten Smart-Home- 
Geräte noch „wie ein Tourist in New 
York, der nie die U-Bahn verlässt“. 
Zwar hätten sie etwas Informationen 
über ihre Umgebung, aber jede Menge 
Kontext fehle noch. Die Staubsauger- 
roboter könnten den liefern helfen. Der 
Hedge-Fond-Manager Willem Mesdag 
meint, dass der Ansatz von iRobot dem 


169 


der Konkurrenten mit deutlich günstige- 
ren Staubsaugerrobotern überlegen sei: 
„Die Konkurrenz fokussiert sich darauf, 
Reinigungsprodukte herzustellen, nicht 
Roboter, die Karten erstellen.“ Das 
könnte den Roombas helfen, weiterhin 
den Markt zu dominieren. Gleichzeitig 
geht iRobot aber sowieso auch patent- 
rechtlich gegen die Konkurrenz vor, die 
teilweise deutlich günstigere Produkte 
anbietet und die dem großen Vorbild 
bezüglich der Reinigungsleistung nicht 
nachstehen (Holland, Roomba: Herstel- 
ler der Staubsaugerroboter will Karten 
der Wohnungen verkaufen, www.heise. 
de 25.07.2017). 


USA 


Firma verchipt 
Beschäftigte 


Gemäß eigenen Angaben ist die Fir- 
ma Three Square Market (32M) die 
erste US-Firma, die ihre Belegschaft 
verchipt. Deshalb organisierte sie am 
01.08.2017 in River Falls, Wisconsin, 
eine „Chip Party“. Dabei ließen sich die 
Mitarbeitenden von der dort ansässigen 
32M angeblich freiwillig einen winzi- 
gen NFC-Chip (Near Field Communica- 
tion) zwischen Daumen und Zeigefinger 
einer Hand implantieren. 

Der Funkchip soll dann zur drahtlosen 
Identifikation der Person dienen. In der 
Folge hofft 32M auf eine große Verbrei- 
tung bei tausenden Firmen in aller Welt. 

32M-CEO Todd Westby erklärte: 
„Wir erwarten, dass die RFID-Technik 
alles vom Bezahlen [in der Kaffeekü- 
che] über das Öffnen von Türen, die 
Aktivierung von Kopiermaschinen, das 
Einloggen [...] bis zum Speichern me- 
dizinischer Gesundheitsinformationen 
[...] vorantreiben wird. Eines Tages 
wird diese Technik standardisiert sein 
und Ihnen ermöglichen, [den Chip] als 
Reisepass und Fahrausweis sowie für 
alle Einkaufsmöglichkeiten und mehr 
zu nutzen.“ 32M bietet IT-Systeme und 
Dienstleistungen für Kleinstgeschäfte in 
Büros und anderen Arbeitsplätzen. Mit- 
arbeiterInnen können dort typischerwei- 
se Getränke und Imbisse kaufen und an 
einer Selbstbedienungskasse bezahlen. 
Mehr als 2.000 solcher Kioske betreibt 
32M derzeit in Europa, Asien, Australi- 
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en und Nordamerika. Die Schwesterfir- 
ma TurnKey Corrections betreibt mehr 
als 6.000 Kioske in Gefängnissen. 32M 
hofft, später auch die Mitarbeitenden ih- 
rer Kunden für das Chip-Programm ge- 
winnen zu können. Auch die EndkundIn- 
nen von Fitnessstudios und kleinen Le- 
bensmittelgeschäften hat die US-Firma 
im Visier. Über GefängnisinsassInnen 
verliert die Verlautbarung kein Wort. 

Ideengeber war laut 32M die schwe- 
dische Firma BioHax International. Die- 
se Firma aus Helsingborg hat demnach 
bereits ihre Belegschaft verchipt, so 
32M-Manager Patrick McMullan: „Wir 
freuen uns darauf, mit [BioHax] zu- 
sammenzuarbeiten und unseren Markt- 
anteil auf ein anderes Level zu brin- 
gen.“ Die BioHax-Webseite zeigt einen 
NTAG216-Chip von NXP, der in einer 
2 mal 12 Millimeter großen Bioglaskap- 
sel steckt. Laut Herstellerspezifikation 
speichert der NTAG216 924 Bytes und 
ist für drahtlose Verbindungen bis zehn 
Zentimeter Abstand ausgelegt. Pro Se- 
kunde können bis zu 106 kbit übertragen 
werden. Wie bei RFID üblich, wird auch 
die zum Betrieb des Chips erforderliche 
Energie drahtlos übertragen (Sokolov, 
Chip-Implantat zur Identifikation: Firma 
will Mitarbeitern Chips einsetzen, www. 
heise.de 24.07.2017). 


USA 


Justiz fordert Nutzungs- 
daten von Trump- 
GegnerlInnen 


Das US-amerikanische Justizminis- 
terium unter Donald Trump versucht, 
per Durchsuchungsbefehl persönliche 
Informationen über BesucherInnen ei- 
ner regierungskritischen Webseite zu 
beschaffen. Der Provider Dreamhost 
sollte zunächst sämtliche Nutzungsda- 
ten wie zum Beispiel die IP-Adresse der 
Seitenbesucher seiner Kunden weiter- 
geben. Dabei hätte es sich, so Dream- 
host, allein um 1,3 Mio. IP-Adressen 
gehandelt. Der Provider weigerte sich 
und so landete der Streit mit der Justiz 
vor dem Superior Court in Washington, 
D.C. Dort ging am 22.08.2017 nun ein 
Gerichtsdokument ein, in dem es heißt: 
„Die Regierung hat kein Interesse an 
Aufzeichnungen zu den 1,3 Millionen 


IP-Adressen, von denen in mehreren 
Pressemitteilungen von Dreamhost zu 
lesen ist.‘“ Herauszugeben seien die Da- 
ten der von Dreamhost gehosteten Seite 
disruptj20.org. 

Unter die ursprüngliche Abfrage des 
Ministeriums wären nicht nur die IP- 
Adressen gefallen, sondern auch Ent- 
würfe von Blogposts für die Seite und 
E-Mail-Korrespondenzen der Seitenbe- 
sitzer. Dies wurde dem Justizministeri- 
um nach eigener Darstellung allerdings 
erst klar, als Dreamhost sich über die 
Anfrage beschwerte. Das Justizministe- 
rıum erklärte daraufhin, es wolle derar- 
tige Daten nicht übermittelt bekommen. 
Man habe bei der Formulierung des 
Durchsuchungsbefehls schlicht nicht 
gewusst, wie viele Informationen der 
Provider Dreamhost habe. 

Über die Seite disruptj20.org, die 
weiterhin Gegenstand der Datenbegehr 
blieb, waren Proteste gegen die Amts- 
einführung Trumps organisiert worden. 
Während der Zeremonie am 20. Januar 
hatte es landesweit Gegenveranstal- 
tungen gegen den neuen Präsidenten 
gegeben. Dabei war es am Rande ver- 
einzelt zu Ausschreitungen gekommen. 
Hunderte Demonstranten müssen sich 
deshalb nun vor Gericht verantworten. 
Disruptj20.org unterstützt die Betroffe- 
nen mit rechtlichem Beistand. 

In der amerikanischen Öffentlichkeit 
wurde die groß angelegte Datenabfra- 
ge zu disruptj20.org als Ermittlung ins 
Blaue hinein kritisiert. Dreamhost be- 
schwerte sich in einem Blogpost, es sei 
unklar, was genau den Besuchern der 
Webseite vorgeworfen werde und ob die 
Vorwürfe überhaupt eine solche massen- 
hafte Abfrage persönlicher Daten recht- 
fertigen würden (US-Justiz rückt von 
massenhafter Datenabfrage ab, www. 
spiegel.de 23.08.2017). 


USA 


143 Mio. Equifax- 
Auskunftei-Datensätze 
gehackt 


Unbekannte Hacker haben bei der 
US-amerikanischen Auskunftei für Fi- 
nanzdienstleister Equifax mit Sitz in 
Atlanta/Georgia wertvolle Daten von 
bis zu 143 Millionen Verbraucherln- 
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nen erbeutet, also von über 40% der 
US-Bevölkerung. Der Datenklau ist für 
die Betroffenen besonders gefährlich, 
weil zu den Daten auch die Sozialver- 
sicherungsnummern der Opfer gehören, 
die in den USA oft zur Identifizierung 
im Alltag zum Beispiel bei Mobilfunk- 
Verträgen oder Kreditanfragen genutzt 
werden. Die Wirtschaftsauskunftei 
Equifax teilte am 07.09.2017 mit, dass 
die Angreifer sich in ihrem System auch 
Zugang zu Namen, Geburtsdaten und 
Adressen verschafft haben. Die Kom- 
bination aus diesen vier Informationen 
eröffnet Betrügern Tür und Tor zum 
Identitätsdiebstahl, z. B. um in fremdem 
Namen Kredite aufzunehmen. 

Gemäß Equifax ist die Attacke von 
Mitte Mai bis Juli 2017 erfolgt. In mehr 
als 200.000 Fällen seien zudem Kre- 
ditkarten-Nummern betroffen und zum 
Teil auch die Führerschein-Daten, was 
in US-Amerika ebenfalls oft zur Iden- 
tifikation genutzt wird. Während aber 
diese Daten und die Dokumente relativ 
schnell ausgetauscht werden können, 
begleitet die Sozialversicherungsnum- 
mer eine US-AmerikanerIn üblicher- 
weise ihr gesamtes Leben. Der Vor- 
fall wurde gemäß Firmenangaben am 
29.07.2017 bei einer internen Untersu- 
chung festgestellt; die Sicherheitslücke 
sei sofort geschlossen worden. Equifax 
machte, im Gegensatz zu anderen ähn- 
lichen Fällen, keine Angaben, ob die 
Daten durch Verschlüsselung geschützt 
waren. Etwas später teilte Equifax mit, 
dass von dem Hack auch Dokumente 
über Streitigkeiten mit 182.000 Kun- 
dInnen betroffen sind. 

Dieser wurde offensichtlich dadurch 
möglich, dass es die Firma versäumte, 
Sicherheitsupdates für eine kritische 
Lücke zu installieren. Unklar blieb, wie 
genau die Angreifer ins System gelang- 
ten und ob sie an die Gesamtheit der 
verknüpften Informationen herankom- 
men konnten. Gemäß dem IT-Sicher- 
heitsexperten Helge Husemann von der 
Firma Malwarebytes hätten die Daten 
normalerweise getrennt segmentiert 
aufbewahrt werden müssen, um zu ver- 
hindern, dass die verschiedenen Infor- 
mationen miteinander verknüpft werden 
können. Angesichts der Dimension des 
Datendiebstahls sei auch denkbar, dass 
der Angriff von innen heraus durchge- 
führt worden sei. 
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Der Vorfall ließ die Frage aufkom- 
men, weshalb Finanzchef John Gamble 
und zwei weitere Top-Manager in den 
ersten August-Tagen Equifax-Aktien im 
Wert von rund 1,8 Millionen Dollar ver- 
kauft haben. Ein Sprecher sagte, sie hät- 
ten nur einen geringen Teil ihrer Anteile 
abgestoßen und zu dem Zeitpunkt nichts 
von dem Hacker-Einbruch gewusst. Die 
Equifax-Aktie fiel am der Veröffentli- 
chung folgenden Tag vorbörslich um 
rund 13%. Diese Optik ist wenig schön, 
zumal in den zwei Monaten zuvor kein 
Manager Aktien verkauft hatte. Für so- 
genannten Insiderhandel, bei dem Ak- 
tiengeschäfte auf Basis öffentlich nicht 
zugänglicher interner Informationen ge- 
tätigt werden, gibt es in den USA stren- 
ge Strafen. 

Equifax teilte mit, dass auch einige 
KundInnen in Kanada und Großbritan- 
nien in geringerem Umfang betroffen 
sind, aus anderen Ländern aber nicht. 
Man habe die Aufsichtsbehörden infor- 
miert und externe Spezialisten mit einer 
forensischen Prüfung beauftragt. Es sei 
noch zu früh, die Kosten zu beziffern. 
Vorstandschef Richard Smith entschul- 
digte sich bei den betroffenen Kun- 
dInnen und sprach von einem Schlag, 
der auf das Herz des Unternehmens 
gezielt habe. Für Equifax ist der Vor- 
fall besonders unangenehm, weil das 
Unternehmen selbst Produkte gegen 
Daten- und Identitätsdiebstahl durch 
Hacker anbietet. Die Firma fällt nicht 
zum ersten Mal im Zusammenhang mit 
Cyber-Attacken auf. Schon 2013 sol- 
len bei Equifax laut Medienberichten 
Finanzdaten und persönliche Informa- 
tionen von US-Prominenten entwen- 
det worden sein. Zu den Betroffenen 
zählten damals unter anderen Beyonce, 
Ashton Kutcher und Mel Gibson, aber 
auch die damalige First Lady Michelle 
Obama sowie Ex-Vize-Präsident Joe 
Biden (DANA 2/2013, 73). 

Der Umgang von Equifax mit dem 
aktuellen Angriff sorgte für die Kritik, 
die Firma habe sich zu lange Zeit mit 
der Benachrichtigung der Betroffenen 
gelassen und zu wenige Informationen 
öffentlich gemacht. Equifax bot den 
betroffenen US-VerbraucherInnen als 
versuchte Schadenseindämmung an, 
sich gebührenfrei bei „Trusted ID“ an- 
zumelden und ein Jahr lang ihre Credit 
History bei Equifax und dessen Mit- 


bewerbern Transunion und Experian 
überwachen zu lassen. Dazu kommt 
eine Kopie des eigenen Equifax Credit 
Reports, eine Versicherung gegen Iden- 
titätsdiebstahl und eine laufende Inter- 
netsuche nach der Sozialversicherungs- 
nummer. Die Anmeldung zu Trusted 
ID verlangte allerdings das Abnicken 
von Vertragsbedingungen, in denen 
die Teilnehmenden darauf verzichten, 
Equifax vor Gericht zu bringen. Auf 
der Webseite des Unternehmens hieß 
es dann jedoch: „Die Schiedsgerichts- 
klausel und der Verzicht auf Sammel- 
klagen in den (Nutzungsbedingungen) 
bezieht sich nicht auf den (Hack)“. Die 
erwähnten Klauseln wurden kurz da- 
nach entfernt. Der Andrang zu Trusted 
ID war so groß, dass Equifax Interes- 
sierten Anmeldedaten zuteilte und die- 
se auf einen Termin warten mussten, 
um sich anzumelden. Das Callcenter 
soll auf mehr als 2.000 TelefonistInnen 
verdreifacht worden sein. 

Derweil äußerten die kanadischen 
VerbraucherInnen ihren Unmut darüber, 
dass sie nicht wissen, ob auch ihre Daten 
preisgegeben wurden. Equifax gäbe nur 
unter Einschränkungen oder gar nicht 
Auskunft. Zum Ausmaß der Betroffenen 
aus Kanada, Großbritannien und Nord- 
irland machte die Firma zunächst keine 
Angaben. Die Hackerattacke hatte Fol- 
gen für das Führungsmanagement. Der 
Informations- und der Sicherheitschef 
der Firma wurden mit sofortiger Wir- 
kung in den Ruhestand geschickt. 

Gemäß der ab 25.05.2018 geltenden 
europäischen Datenschutzverordnung 
müssen die zuständigen Datenschutz- 
behörden binnen 72 Stunden nach Ent- 
deckung eines Cyberangriffs informiert 
werden. Carl Leonhard von der IT- 
Sicherheitsfirma Forcepoint erklärte: 
„Eine der Lehren ist, dass Unternehmen 
jederzeit alles Nötige für solche Be- 
kanntmachungen vorhalten müssen.“ 
Zugleich sei es in den ersten Tagen zu- 
nächst oft schwierig, schnell das Aus- 
maß eines Angriffs einzuschätzen (US- 
Wirtschaftsauskunftei Equifax meldet 
große Hacker-Attacke, www.stern.de 
08.09.2017; Sokolov, Nach kolossa- 
lem Hack bei Wirtschaftsauskunftei: 
Schiefe Optik bei Equifax, www.heise. 
de 09.09.2017; Equifax schickt nach 
Datenklau Führungskräfte in den Ruhe- 
stand, www.heise.de 16.09.2017). 
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China 


„Datenschutz-Gesetz” be- 
einträchtigt internationale 
Geschäfte 


Bei europäischen Unternehmen in Chi- 
na sorgt ein ab dem 01.06.2017 für die 
Speicherung sensibler Daten in China 
eingeführtes neues „Datenschutz-Gesetz“ 
für Wirbel. Danach dürfen Firmen ab so- 
fort in China gewonnene Daten unter an- 
derem zu Kunden nur noch auf Servern 
in der Volksrepublik speichern und nicht 
über die Grenzen ins Ausland transferie- 
ren. Die Regierung in Peking argumen- 
tiert, Staaten sollten in die Lage versetzt 
werden, Datenströme zu überwachen, 
die über ihre Landesgrenzen transferiert 
werden. Die EU-Handelskammer und die 
Business Software Alliance mit Sitz in 
den USA forderten, das Regelwerk müs- 
se überarbeitet werden. Das Gesetz neh- 
me vor allem ausländische Firmen ins Vi- 
sier. China weist dies zurück. Ausländi- 
sche Firmen in China fürchten nun, dass 
ihr Zugang zum Internet gesperrt werde, 
wenn sie die Regeln nicht befolgten. 
Der deutsche Werkzeugmaschinenbau- 
er Trumpf bezeichnete das neue Gesetz 
als die größte Herausforderung für das 
Geschäft in China, so Tomislav Caleta, 
IT-Experte des Unternehmens: „Was das 
Gesetz in Zukunft für unseren Standort in 
China bedeutet, weiß niemand“. Von dem 
Gesetz betroffen sein sollen auch Conti- 
nental und Bosch. 

Die EU-Handelskammer äußerte sich 
besorgt. Die neuen Regelungen zeigten 
Schwächen und sorgten für Unsicherhei- 
ten. In einem Schreiben an die chinesi- 
sche Internet-Behörde empfiehlt sie eine 
gründliche Diskussion über das Gesetz. 
Rechtsanwälte vor Ort erwarten indes 
nicht, dass die chinesischen Behörden 
sich davon beeinflussen lassen. Sie set- 
zen vielmehr darauf, dass die Behörden 
das neue Regelwerk zu Beginn noch 
nicht allzu strikt anwenden werden. Das 
prognostiziert unter anderem Barbara Li 
von der Kanzlei Norton Rose Fulbright. 
Das Gesetz werde aber auch chinesi- 
sche Firmen treffen. China setzt darauf, 
den eigenen Datenraum zu kontrollieren 
(EU-Handelskammer warnt vor chine- 
sischem Daten-Gesetz, derstandard.at 
26.05.2017). 
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Indien 


Supreme Court erkennt 
Grundrecht auf Privat- 
sphäre an 


Nachdem Indiens Supreme Court 
der Privatsphäre in zwei vorangegan- 
genen Entscheidungen den Status eines 
Grundrechts abgesprochen hatte, korri- 
gierte er angesichts des großen Biome- 
trieprojekts Aadhaar nun seine Ansicht. 
Er entschied, dass die Privatsphäre der 
Bürger für deren Leben und Freiheit im- 
manent ist und von der Verfassung als 
Grundrecht geschützt wird. Damit wur- 
den zwei Entscheidungen aus den Jah- 
ren 1954 und 1961 revidiert, in denen 
die Privatsphäre noch als nicht verfas- 
sungsrechtlich geschützt erklärt wurde. 
Damals hatten noch Kammern aus zu- 
erst sechs und später acht Richtern ent- 
schieden, weswegen nun neun Richter 
nötig waren, um die alten Urteile zu re- 
vidieren. Bei dem Verfahren unterlag die 
indische Regierung, die die Privatsphäre 
nur allgemein gesetzlich geschützt sah. 

Bei dem Biometrieprojekt Aadhaar 
werden persönliche Daten zu allen Bür- 
gerInnen gesammelt, die sich damit etwa 
für staatliche Unterstützung anmelden 
sollen (DANA 3/2016, 150 £.). GegnerIn- 
nen bezeichnen das Projekt als Weg hin 
zu einem „totalitären Staat“, das zugleich 
zu Datendiebstahl von immensem Um- 
fang einlade. Die Regierung hatte ar- 
gumentiert, das Recht auf Privatsphäre 
einer „kleinen Elite“ müsse hinter dem 
Recht der Masse auf ein würdevolles Le- 
ben in einem sich entwickelnden Land 
zurückstehen. Die neun Richter folgten 
dieser Argumentation nicht. 

Aadhaar war anfangs als freiwillige 
Datenbank angepriesen worden. In den 
vergangenen Jahren ist die Teilnahme 
in immer mehr Bereichen verpflichtend 
geworden, etwa zur Abgabe der Steu- 
ererklärung, um ein Konto zu eröffnen 
oder sogar für Einkäufe im Wert von 
mehr als umgerechnet 670 Euro. Die 
Kläger sahen deswegen die Gefahr, dass 
der Staat damit allumfassende Profile 
der Bürger erstellen kann. Wie es jetzt 
weiter geht, ist noch unklar (Holland, 
Indiens oberstes Gericht überstimmt 
sich selbst: Privatsphäre ist doch ein 
Grundrecht, www.heise.de 24.08.2017). 


Nigeria 


Internet-Portal zur 
Korruptionsaufklärung 


Nigeria wird zu den Ländern in der 
Welt gezählt, bei denen Korruption am 
weistesten verbreitet und etabliert ist. 
Eine Gruppe von Nicht-Regierungs- 
organisationen, Kirchenvertretern und 
der US-Botschaft hat nun ein Internet- 
Portal ins Leben gerufen, das den Men- 
schen im Land erleichtern soll, Verstöße 
zu melden. Das Ziel sind nicht die gro- 
Ben Fische, sondern das Bakschisch im 
Alltag. Auf „Report yourself“ sollen die 
Staatsbediensteten gemeldet werden, die 
für ihre Dienste ein zusätzliches privates 
Entgelt verlangen. Die Seite will damit 
das Verhalten der Einzelnen anprangern 
und zu einem Kulturwandel beitragen. 
Ein Sprecher der Gruppe forderte zu- 
dem, dass staatliche Unternehmen wie 
Wasserversorger ihre Dienste digitali- 
sieren, damit es für korrupte Bedienstete 
keine Möglichkeit mehr gibt, Geld für 
sich abzuzweigen. 

Bisher galt Korruption in Nigeria als 
gesellschaftlich akzeptabel oder zumin- 
dest als ein Übel, gegen das man nicht 
ankommt. Wer Bestechung oder Be- 
stechlichkeit bei der Polizei anzeigte, 
galt als Nestbeschmutzer, weil in fast 
jeder Familie auch Angestellte des öf- 
fentlichen Dienstes zu finden sind, die 
auch die Hand aufhalten. Seit der Un- 
abhängigkeit vor fast 60 Jahren hat sich 
jede Regierung den Kampf gegen die 
Korruption auf die Fahnen geschrie- 
ben, passiert ist wenig. Ein detaillier- 
ter Bericht der Regierung vom August 
2017 versuchte erstmals, Korruption im 
Land statistisch zu erfassen. Das Amt 
für Statistik hatte 3.300 Haushalte nach 
ihren Erfahrungen im Umgang mit offi- 
ziellen Stellen befragt und die Angaben 
auf die ca. 200 Mio. EinwohnerInnen 
hochgerechnet. Demnach müssen die 
Menschen durchschnittlich sechs Mal 
im Jahr Bestechungsgelder zahlen. Wer 
seinen Führerschein oder die Taxilizenz 
verlängern möchte, muss oft mehrere 
Hundert Dollar zahlen. Dies summiert 
sich nach Berechnungen der Statistik- 
behörde auf 4,6 Mrd. Dollar. Nigeria, 
einstmals die größte Volkswirtschaft 
Afrikas, ist in eine Rezession geschlit- 
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tert, nachdem der sinkende Ölpreis ein 
Loch in den Staatshaushalt riss und ein 
Krieg gegen die Terroristen von Boko 
Haram und eine Dürre Lebensmit- 
tel knapp und teuer machte. Eine der 
berühmtesten Korrupten im Land ist 
Diezani Alison-Madueke, früher nige- 
rianische Ölministerin und Chefin der 


Digitale Gedankenerfas- 
sung und Datenschutz 


Tübinger Forscher um die Neuro- 
wissenschaftler Surjo R. Soekadar und 
Niels Birbaumer sehen große Risiken 
für den Datenschutz bei Gehirn-Ma- 
schine-Schnittstellen und haben in der 
renommierten Wissenschaftszeitschrift 
„science“ ethische Richtlinien für den 
Einsatz von Gehirn-Computer-Schnitt- 
stellen formuliert. 

Sie halten das Ausspähen von Ge- 
danken für möglich, so Soekadar: „Die 
technologischen Fortschritte im Bereich 
der Gehirn-Computer-Schnittstellen 
entwickeln sich rasant.“ Schon heute 
lassen sich beispielsweise, wenn auch 
nur unter sehr speziellen Bedingungen, 
der elektronisch gemessenen Hirnak- 
tivität eines Menschen einzelne Worte 
zuordnen. Bei Facebook erforscht eine 
ganze Abteilung, wie Anwender bis zu 
100 Worte allein mit Gedankenkraft 
schreiben können. In drei Jahren soll 
eine entsprechende Schnittstelle auf 
dem Markt sein. 

Wenn Maschinen über spezielle 
Schnittstellen Hirnsignale eines Men- 
schen lesen können, wirft das bisher we- 


Förderländer-Organisation OPEC. Sie 
saß viele Jahre direkt an der Quelle und 
lenkte nach Schätzungen der nigeriani- 
schen Economic and Financial Crimes 
Commission eine halbe Milliarde Dol- 
lar in ihre eigenen Taschen (Dörries, 
Sechs Mal im Jahr Bakschisch, SZ 
24.08.2017, 21). 
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nig diskutierte ethische und rechtliche 
Fragen auf. Soekadar: „Die neuen Tech- 
nologien sind eigentlich ein Segen und 
können beispielsweise das Leben ge- 
lähmter Menschen enorm erleichtern.“ 
Aber sie bergen auch große Risiken, die 
rechtzeitig bedacht werden müssten. In 
ihrem Aufsatz fordern die Forscher un- 
ter anderem, dass Hirnsignale, die ein 
Rechner über Sensoren abgreift, sicher 
verschlüsselt werden müssen. Nur so 
könne der Datenschutz gewährleistet 
und das „Brainhacking“, das unbefugte 
Lesen von Signalen, verhindert werden. 
Wichtig sei auch, dass Hirnsignale, mit 
denen Geräte gesteuert werden, in einer 
elektronischen „Blackbox“ aufgezeich- 
net und für eine begrenzte Zeit gespei- 
chert werden. So könne gegebenenfalls 
rekonstruiert werden, wer für einen Un- 
fall verantwortlich ist. 

Die Forschung in Tübingen zeigt, wie 
sinnvoll es ist, solche Fragen zu klären. 
Wenn jemand mit dem von seinem Team 
entwickelten hirngesteuerten Hand- 
Exo-Skelett einen Schaden verursachen 
oder einen Menschen verletzen würde, 
muss geklärt werden, ob das Komman- 
do für die folgenreiche Bewegung vom 
Hirn kam oder ein technischer Fehler 
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zugrunde lag. Haftungsrechtlich macht 
das einen großen Unterschied. Um Un- 
fälle zu verhindern, müsse der Mensch 
auch jederzeit die Maschine mit Hilfe 
einer „Veto“-Funktion stoppen können. 
Soekadars Exo-Skelett lässt sich des- 
halb mit einer bestimmten Augenbewe- 
gung anhalten. 

Die Gefahren, die durch Gehirn- 
Computer-Schnittstellen entstehen, sind 
für die meisten Menschen derzeit noch 
weit entfernt. Doch schon jetzt erfassen 
Fitness-Uhren und Smartphones perma- 
nent Daten des menschlichen Körpers, 
wie etwa Herzfrequenz, Blutdruck, 
Schlafzyklen oder Bewegungsmuster 
und übertragen sie an Server irgendwo 
auf der Welt. Diese Daten könnten von 
Unternehmen oder Geheimdiensten mit 
Informationen über Hirnaktivitäten ver- 
knüpft und zur Erstellung von sehr ge- 
nauen Persönlichkeitsprofilen genutzt 
werden. 

Noch problematischer wird es, wenn 
Hacker über eine Schnittstelle das 
menschliche Gehirn manipulieren oder 
sogar kapern könnten. Ein solches 
„Brainjacking“ ist nicht mehr reine 
Science Fiction. US-Unternehmer Elon 
Musk hat eine Firma gegründet, die 
Neuro-Implantate entwickeln soll, die 
ins menschliche Gehirn gespritzt wer- 
den, um es mit künstlicher Intelligenz zu 
verbinden. Die Leistungen des Gehirns 
könnten so enorm gesteigert werden. 
Über solche Schnittstellen ist theoretisch 
aber auch die Stimulation von außen, 
der externe und unerlaubte Eingriff in 
fremde Hirne denkbar. Soekadar warnt 
vor Panikmache, doch meint er: „Wir 
wollen, dass die Leute verstehen, was 
man mit den Daten anstellen kann.“ Es 
sei höchste Zeit, über Richtlinien nach- 
zudenken, „damit die Technologien nur 
zum Nutzen der Gesellschaft eingesetzt 
und unnötige Risiken vermieden wer- 
den“ (Janssen, Die Ethik des Gedanken- 
lesens, www.tagblatt.de 07.07.2017). 
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Te siejelg-teialölgte 


EGMR 


Art. 8 EGMR schützt 
Arbeitnehmer vor übermä- 
Riger TK-Überwachung 


Der Europäische Gerichtshof für 
Menschenrechte (EGMR) in Straßburg 
hat mit einem ausführlichen Urteil der 
großen Kammer vom 05.09.2017 — ge- 
gen die Stimmen einiger Richter — eine 
Entlassung wegen privater Internetnut- 
zung am Arbeitsplatz für rechtswid- 
rig erklärt, weil die Überwachung der 
elektronischen Kommunikation eines 
Arbeitnehmers eine Verletzung seiner 
Privatsphäre ist (Az. 61496/08, Barbu- 
lescu v. Romania). Diese ist in Art. 8 der 
Europäischen Menschenrechtekonventi- 
on (EMRK) geschützt. Ein Arbeitgeber 
habe nicht das Recht, das Privat- und 
Sozialleben seiner Mitarbeitenden am 
Arbeitsplatz auf Null zu reduzieren. Der 
Anspruch auf Vertraulichkeit von priva- 
ter Kommunikation bestehe weiter. Ein- 
schränkungen sollten nur so weit gehen 
wie unbedingt nötig. 

Geklagt hatte ein rumänischer Inge- 
nieur, der in seinem Unternehmen für 
den Verkauf zuständig war. Er hatte über 
den Internetzugang des Arbeitgebers 
Nachrichten von seinem Messenger- 
Konto an seinen Bruder und seine Ver- 
lobte verschickt. Es ging darin u. a. um 
seine Gesundheit und sein Sexualleben. 
Das Unternehmen hatte die Unterhal- 
tung aufgezeichnet, ohne den Mitarbei- 
ter über die Möglichkeit einer solchen 
Kontrolle vorab zu informieren. Anfang 
Juli 2007 kursierte in seinem Unterneh- 
men die Information, einer Kollegin sei 
wegen privater Internet-Nutzung gekün- 
digt worden. Dies hielt den Mann aber 
nicht von der Privatkommunikation ab. 
Mitte Juli legte der Arbeitgeber ihm ein 
Transkript von 45 Seiten mit der Kom- 
munikation einer Woche vor; die Kün- 
digung folgte. Der Mann klagte gegen 
seine Entlassung, unterlag aber vor ru- 
mänischen Gerichten. Das Unterneh- 
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men habe im Rahmen des geltenden Ar- 
beitsrechts gehandelt, und der Ingenieur 
sei über die Regeln informiert gewesen. 
Aus Sicht der Straßburger Richter ging 
die Überwachung jedoch zu weit. Nach 
dem Urteil soll es Unternehmen zwar 
möglich bleiben, die Kommunikation 
von Mitarbeitern zu überprüfen. Aller- 
dings müssen bestimmte Voraussetzun- 
gen erfüllt sein, die der Gerichtshof erst- 
mals festlegte. 

So muss über die Möglichkeit und das 
Ausmaß von Kontrollen vorab informiert 
werden. Außerdem braucht es einen legi- 
timen Grund für die Überwachung. Nicht 
ausreichend ist der allgemeine Hinweis, 
das Unternehmen müsse vor Schäden am 
IT-System geschützt und vor einer Haf- 
tung wegen illegaler Online-Aktivitäten 
bewahrt werden. Die nationalen Gerichte 
hätten für den Schutz vor Verletzungen 
des Privatlebens keine ausreichenden 
Vorkehrungen getroffen. So müsse unter- 
schieden werden, ob lediglich der Kom- 
munikationsfluss aufgezeichnet wird 
oder auch der Inhalt der Nachrichten, 
was ein deutlich gravierenderer Eingriff 
sei. Mildere Kontrollmaßnahmen und 
weniger einschneidende Konsequen- 
zen als etwa eine Kündigung müssen 
geprüft werden (siehe die aufgehobene 
Kammerentscheidung des EGMR vom 
12.01.2016, DANA 2016, 36 f.; Entlas- 
sung wegen privater Internetnutzung 
nicht rechtens, www.zeit.de 05.09.2017; 
Janisch, Gericht stärkt Privatsphäre, SZ 
06.09.2017, 21). 


EuGH 


PNR-Abkommen mit 
Kanada verstößt gegen 
Grundrechte 


Der Europäische Gerichtshof 
(EuGH) hat mit einem Gutachten vom 
26.07.2017 das Abkommen zum Aus- 
tausch von Fluggastdaten (Passenger 
Name Records — PNR) mit Kanada ge- 
stoppt (Gutachten 1/15). Mehrere der 


vorgesehenen Bestimmungen sind nicht 
mit den von der Europäischen Union 
anerkannten Grundrechten auf Schutz 
der Privatsphäre und auf Datenschutz 
vereinbar. Der EuGH folgte damit der 
Einschätzung des Generalanwalts Paolo 
Mengozzi. 

Das ab 2010 ausgehandelte und 2014 
unterzeichnete Abkommen sieht vor, 
bis zu 60 Einzeldaten pro Passagier und 
Flugbuchung fünf Jahre lang zu spei- 
chern und an staatliche Stellen in Kana- 
da zu übermitteln. Behörden in Kanada 
dürfen diese Datensätze auswerten und 
ohne effektive Kontrolle durch EU- 
Stellen an weitere Staaten übermitteln. 
Das Europäische Parlament, das dem 
Abkommen nach der Unterzeichnung 
durch den EU-Rat und durch Kanada 
zustimmen sollte, hatte es dem EuGH 
im November 2014 zur Prüfung vorge- 
legt, da es erhebliche Zweifel an dessen 
Rechtmäßigkeit hatte. 

Gemäß dem Gutachten des EuGH 
würden die weitergegebenen Daten zu 
viel über die Fluggäste verraten und 
könnten noch mehr über deren Privat- 
leben preisgeben. Mehrere Bestim- 
mungen des Abkommens beschränkten 
sich nicht auf das absolut Notwendige 
und enthalten keine klaren sowie präzi- 
sen Regeln. So werden sensible Daten 
grundrechtswidrig nach Kanada über- 
mittelt. Informationen zu besonderen 
Mahlzeitwünschen könnten Hinweise 
auf die Religion oder Erkrankungen ge- 
ben, etwa dann, wenn Reisende bei der 
Buchung eine „muslimische Mahlzeit“ 
oder „glutenfreie Kost“ bestellen. Sen- 
sible Daten seien nicht sakrosankt, doch 
müsse der Umgang damit präzise gere- 
gelt werden. 

Die Verwendung der Daten auch nach 
erfolgter Einreise sei nicht hinreichend 
vor Missbrauch geschützt. Es bedürfe 
objektiver Kriterien mit materiell- und 
verfahrensrechtlichen Voraussetzungen 
für die Verwendung durch die kanadi- 
schen Behörden. Die Nutzung der Da- 
ten bedürfe einer vorherigen Kontrolle 
durch ein Gericht oder eine unabhängi- 
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ge Verwaltungsstelle. Eine dauerhafte 

Speicherung der Daten sei unzulässig. 

Nur wenn objektive Anhaltspunkte da- 

für bestehen, dass von bestimmten Flug- 

gästen nach ihrer Ausreise aus Kanada 
eine Gefahr im Zusammenhang mit 
der Bekämpfung des Terrorismus und 
grenzüberschreitender schwerer Krimi- 
nalität ausgehen könnte, sei eine Spei- 
cherung auch für die Dauer von fünf 

Jahren zulässig. 

Nach Auffassung des Gerichtshofs 
sind weitere Bestimmungen des geplan- 
ten Abkommens nicht mit den Grund- 
rechten vereinbar, so dass das Abkom- 
men geändert werden muss, um die Ein- 
griffe besser und genauer einzugrenzen. 
Der Gerichtshof stellt dazu fest, dass das 
Abkommen 
- einige der zu übermittelnden PNR- 

Daten klarer und präziser definieren 

muss; 

- vorsehen muss, dass die im Rahmen 
der automatisierten Verarbeitung von 
PNR-Daten verwendeten Modelle 
und Kriterien spezifisch und zuverläs- 
sig sowie nicht diskriminierend sind; 

- vorsehen muss, dass nur Datenbanken 
verwendet werden, die von Kanada 
im Zusammenhang mit der Bekämp- 
fung des Terrorismus und grenzüber- 
greifender schwerer Kriminalität be- 
trieben werden; 

- vorsehen muss, dass die PNR-Daten 
von den kanadischen Behörden nur 
dann an die Behörden eines Nicht- 
EU-Lands weitergegeben werden 
dürfen, wenn es ein dem geplanten 
Abkommen äquivalentes Abkommen 
zwischen der Union und dem betref- 
fenden Land oder einen Beschluss der 
Europäischen Kommission in diesem 
Bereich gibt; 

- ein Recht auf individuelle Informa- 

tion der Fluggäste im Fall der Ver- 

wendung der sie betreffenden PNR- 

Datenwährend ihres Aufenthalts in 

Kanada und nach ihrer Ausreise aus 

diesem Land sowie im Fall der Wei- 

tergabe dieser Daten an andere Be- 
hörden oder an Einzelpersonen vorse- 
hen muss; 

gewährleisten muss, dass die Kon- 

trolle der Einhaltung der Regeln für 

den Schutz der Fluggäste bei der 

Verarbeitung ihrer PNR-Daten durch 

eine unabhängige Kontrollstelle si- 

chergestellt wird. 
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Der Gerichtshof kommt zu dem 
Schluss, dass das geplante Abkommen 
in seiner jetzigen Form nicht geschlos- 
sen werden durfte. DatenschützerInnen 
vertraten von Anfang an die Auffas- 
sung, dass die EU bei der Speicherung, 
Nutzung und Verarbeitung sensibler 
PNR-Daten zu weit geht. Die bereits 
bestehenden Abkommen mit den USA 
und Australien sowie die neue EU- 
Richtlinie zur Fluggastdatenspeicherung 
müssen nun noch einmal auf den Prüf- 
stand. Die EU-Kommission teilte nach 
der Verkündung des Gutachtens mit, 
sie werde alles Erforderliche tun um si- 
cherzustellen, dass der Informationsaus- 
tausch fortgesetzt werden kann (EuGH, 
PE Nr. 84/17 26.07.2017, Holland, 
EuGH stoppt geplantes Fluggastdaten- 
Abkommen der EU mit Kanada, www. 
heise.de 26.07.2017; Steinke, Entschei- 
dung gegen den Generalverdacht, SZ 
27.07.2017, 5). 


BAG 


Anlassloser Einsatz von 
Keylogger ist unzulässig 


Das Bundesarbeitsgericht (BAG) in 
Erfurt hat am 27.07.2017 letztinstanz- 
lich entschieden, dass der Einsatz eines 
Software-Keyloggers zur Überwachung 
eines Arbeitsplatz-Computers nur un- 
ter engen Voraussetzungen erlaubt ist 
(2 AZR 681/16). Nur bei dem mit kon- 
kreten Tatsachen belegbaren Verdacht 
einer Straftat oder einer anderen schwer- 
wiegenden Pflichtverletzung durch eine 
konkrete Arbeitnehmerln darf ein Key- 
logger eingesetzt werden. In anderen 
Fällen verstößt die Nutzung der Über- 
wachungssoftware gegen $ 32 Abs. 1 
Bundesdatenschutzgesetz (BDSG). 

Die BAG-Entscheidung bestätigte 
ein Urteil des Landesarbeitsgerichtes 
(LAG) Hamm (6 Sa 1711/15). Im kon- 
kreten Fall ging es um einen Web-Ent- 
wickler in der Bluebox Medienagentur 
GmbH in Castrop-Rauxel, die auf allen 
Mitarbeiter-PCs Keylogger installierte 
und die Belegschaft per E-Mail darü- 
ber informierte: „Hallo liebes Team, 
hiermit informiere ich Euch offiziell, 
dass sämtlicher Internet-Traffic und die 
Benutzung der Systeme der Company 
mitgelogged und dauerhaft gespeichert 


werden. Solltet Ihr damit nicht einver- 
standen sein, bitte ich Euch mir dieses 
innerhalb dieser Woche mitzuteilen.“ Da 
niemand Widerspruch einlegte, ging die 
Firma davon aus, dass der Einsatz von 
Keylogger-Software akzeptiert wäre. 

Bei Auswertung der Logfiles wurde 
festgestellt, dass ein Mitarbeiter den 
Firmen-PC am 04.05.2015 auch pri- 
vat nutzte. Noch am selben Tag stellte 
die Firma den Mitarbeiter frei, der seit 
vier Jahren in der Firma arbeitete; selbst 
sein Aprilgehalt erhielt er nicht mehr. 
Er wurde fristlos entlassen. Insgesamt 
hatte er drei Stunden seiner Anwesen- 
heitszeit für die Programmierung eines 
Computerspiels genutzt und 10 Minu- 
ten pro Tag die Auftragsverarbeitung 
des väterlichen Unternehmens gewartet. 
Bisher habe die Firma es toleriert, dass 
Mitarbeitende die Computer auch privat 
nutzen. Die Betroffene entschuldigte 
sich beim Chef und gelobte Besserung, 
was diesen aber nicht zum Umdenken 
bewegte. Der Mitarbeiter machte vor 
Gericht geltend, nur in den Arbeitspau- 
sen programmiert zu haben. 

Die Mail, die mit „Hallo liebes Team“ 
begann, verfolgte anscheinend gezielt 
den Zweck, den schließlich gekündigten 
Mitarbeiter auf eine Weise zu überführen, 
von der er nichts ahnte. Eine Kollegin 
hatte gemeint, ein paar Wochen zuvor ge- 
sehen zu haben, dass dieser seiner Arbeit 
nicht nachgeht, was sie ihrem Chef mel- 
dete. Heimlich war die Überwachung, 
weil der Bluebox-Chef die Woche nicht 
abwartete, sondern den Keylogger schon 
nach 2 Tagen einsetzte. 

Das LAG Hamm und zuvor das Ar- 
beitsgericht Herne hatten entschieden, 
dass der Einsatz eines Keyloggers zur 
Arbeitskontrolle unverhältnismäßig ge- 
wesen sei, weil es mildere Mittel zur 
Überwachung der Arbeitsleistung gibt. 
Der BAG-Senatsvorsitzende Ulrich 
Koch erklärte, dass Mitarbeitende ihr 
Persönlichkeitsrecht „nicht am Werkstor 
abgeben“. Der Keylogger der Medien- 
agentur hatte selbst die Kreditkarten- 
daten des Mitarbeiters inklusive Gül- 
tigkeitsdauer und Prüfnummer erfasst. 
Schon zu Beginn der mündlichen Ver- 
handlung hatte sich die Kammer daher 
zu dem Hinweis genötigt gesehen, „der 
Kläger möge sich eine neue Kreditkarte 
besorgen“. Die Tatsache, dass der Ein- 
satz der Software per E-Mail angekün- 
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digt wurde und niemand Einwände hat- 
te, sei unerheblich, da Schweigen keine 
Zustimmung sei. Zudem hätte der Ar- 
beitgeber genauer über den Zweck der 
Datenerhebung wie dem Umfang der 
Protokollierung informieren müssen. 
Auch das BAG sah im Einsatz des 
Keyloggers eine Verletzung des Rechtes 
auf informationelle Selbstbestimmung: 
„Die Beklagte hatte beim Einsatz der 
Software gegenüber dem Kläger keinen 
auf Tatsachen beruhenden Verdacht ei- 
ner Straftat oder einer anderen schwer- 
wiegenden Pflichtverletzung. Die von 
ihr "ins Blaue hinein‘ veranlasste Maß- 
nahme war daher unverhältnismäßig“. In 
früheren Entscheidungen vor 11 und 12 
Jahren hatte das BAG über die „exzes- 
sive Privatnutzung“ von Dienstrechnern 
entschieden (Borchers, Bundesarbeits- 
gericht bestätigt Verwertungsverbot für 
Keylogger, www.heise.de 27.07.2017; 
Hipp/Winter, Der Chef als Big Brother, 
Der Spiegel 31/2017, 128; Esslinger, 
Mitlesen verboten, SZ 28.07.2017, 2). 


KG 


Eltern erhalten keinen 
Zugang zu Facebook- 
Account der verstorbenen 
Tochter 


Das Kammergericht (KG) in Berlin hat 
mit Urteil vom 31.05.2017 in zweiter In- 
stanz zu Gunsten von Facebook entschie- 
den, dass eine Mutter zusammen mit dem 
Kindesvater keinen Zugangsanspruch zu 
dem Facebook-Account ihres verstor- 
benen Kindes aus Erbrecht durchsetzen 
kann (21 U 9/16). Es änderte damit ein 
Urteil des Landgerichts (LG) Berlin 
(DANA 1/2016, 40 f.) ab. Der Schutz des 
Fernmeldegeheimnisses stehe dem An- 
spruch der Erben entgegen, Einsicht in 
die Kommunikation der Tochter mit Drit- 
ten zu erhalten. Die Tochter war im Alter 
von 15 Jahren von der U-Bahn erfasst 
und tödlich verletzt worden. Die Eltern 
erhofften sich aus den Einträgen in das 
Facebook-Konto Gewissheit, ob sie sich 
aus freien Stücken das Leben genommen 
hat. Facebook verweigerte den Zugriff 
auf das in den durch die Meldung eines 
„Freundes“ in den „Gedenkzustand“ ver- 
setzte Konto. Damit können Facebook- 
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„Freunde“ Einblick in einstmals geteilte 
Inhalte nehmen. 

Das KG ließ offen, ob die Klägerin und 
der Kindesvater als Erben in den Vertrag 
eingerückt seien, den die verstorbene 
Tochter mit Facebook geschlossen hatte. 
Es sei zwar grundsätzlich möglich, dass 
die Erben in die Rechte und Pflichten die- 
ses Vertrages eingetreten seien, und zwar 
nicht im Sinne der aktiven Fortführung 
dieses Vertrages, sondern um passive 
Leserechte zu erhalten. In den von Fa- 
cebook gestellten Nutzungsbedingungen 
sei nicht geregelt, ob Rechte aus dem 
Vertrag im Falle des Todes des Nutzers 
auf seine Erben übergehen könnten. Auch 
der Grundgedanke des Vertrages spreche 
nicht generell dagegen, dass er nicht ver- 
erblich sei. Facebook wolle den Nutzern 
nur eine Kommunikationsplattform zur 
Verfügung stellen und Inhalte vermitteln. 
Durch eine Änderung in der Person des 
Vertragspartners würden die Leistungen 
in ihrem Charakter nicht verändert. 

Doch regele das Bürgerliche Gesetz- 
buch (BGB) nicht, ob höchstpersönliche 
Rechtspositionen (ohne vermögensrecht- 
liche Auswirkungen) vererbbar seien. 
Eine Vererbung setze voraus, dass sie in 
irgendeiner Form im Eigentum des Ver- 
storbenen verkörpert seien und nicht nur 
virtuell existierten. Um zu klären, ob es 
sich bei — nicht verkörperten — E-Mails 
um solche handele, die aufgrund ihres 
höchstpersönlichen Inhalts nicht vererb- 
bar seien, oder um solche, die aufgrund 
ihres wirtschaftlichen Bezuges vererbbar 
seien, würde man in der Praxis auf erheb- 
liche Probleme und Abgrenzungsschwie- 
rigkeiten stoßen. 

Das KG entschied aber nicht über die 
Vererbbarkeit des Facebook-Accounts. 
Selbst wenn man davon ausgehe, dass 
dieser Account in das Erbe falle und die 
Erbengemeinschaft Zugang zu den Ac- 
count-Inhalten erhalten müsse, stehe das 
Fernmeldegeheimnis nach dem Telekom- 
munikationsgesetz (TKG) dem Einblick 
entgegen. Dieses Gesetz sei zwar ur- 
sprünglich für Telefonanrufe geschaffen 
worden. Das Fernmeldegeheimnis werde 
jedoch in Art. 10 Grundgesetz (GG) ge- 
schützt und sei damit eine objektive Wert- 
entscheidung der Verfassung. Daraus er- 
gebe sich eine Schutzpflicht des Staates 
und auch die privaten Diensteanbieter 
müssten das Fernmeldegeheimnis ach- 
ten. Nach einer Entscheidung des Bun- 


desverfassungsgerichts (U. v. 16.6.2009, 
2 BvR 902/06, NJW 2009, 2431) erstre- 
cke sich das Fernmeldegeheimnis auch 
auf E-Mails, die auf den Servern von ei- 
nem Provider gespeichert seien. Die Nut- 
zenden seien schutzbedürftig, da sie nicht 
die technische Möglichkeit haben, zu 
verhindern, dass die E-Mails durch den 
Provider weitergegeben werden. Dies 
gelte entsprechend für sonstige bei Fa- 
cebook gespeicherte Kommunikationsin- 
halte, die nur für Absender und Empfän- 
ger oder jedenfalls einen beschränkten 
Nutzerkreis bestimmt sind. 

Anders als das LG entschieden hat, 
würden die im vorgesehenen Ausnah- 
men nicht greifen. Zwar sieht das TKG 
vor, Dritten Inhalte der Kommunikation 
zur Kenntnis zu geben, um den Dienst 
technisch zu ermöglichen oder aufrecht 
zu erhalten. Da Facebook jedoch seine 
Dienste nur beschränkt auf die Person 
des Nutzers anbiete, verbiete der Schutz 
der weiteren Beteiligten an den Kommu- 
nikationsvorgängen (Chats) die Kennt- 
nisgabe. 

Es gäbe auch keine andere gesetzli- 
che Vorschrift, die eine Ausnahme vom 
Schutz des Fernmeldegeheimnisses 
macht (sogenanntes „kleines Zitierge- 
bot“). Das Erbrecht nach dem BGB zielte 
nicht darauf ab, das Fernmeldegeheim- 
nis einzuschränken. Auch aus sonstigen 
Gründen sei es nicht geboten, ohne ge- 
setzliche Regelung Ausnahmen zuzulas- 
sen und von dem so genannten „kleinen 
Zitiergebot‘“ abzuweichen. 

Es läge auch darin kein Verzicht auf 
den Schutz des Fernmeldegeheimnisses, 
dass, worauf sich die klagende Mutter 
berief, die Tochter ihr die Zugangsdaten 
überlassen hat. Dieser Umstand war zwi- 
schen den Parteien streitig. Ein solcher 
Verzicht hätte durch alle diejenigen er- 
folgen müssen, die in einem Zwei-Per- 
sonen-Verhältnis mit der Verstorbenen 
kommuniziert haben. 

Das KG verneinte zudem, dass die Klä- 
gerin außerhalb des Erbrechts einen An- 
spruch auf Zugang zu dem Account hat. 
Das Recht der elterlichen Sorge verhelfe 
nicht zu einem solchen Anspruch, da es 
mit dem Tode des Kindes erlösche. Das 
den Eltern noch zufallende Totenfürsor- 
gerecht könne nicht dazu dienen, einen 
Anspruch auf Zugang zu dem Social- 
Media-Account des verstorbenen Kindes 
herzuleiten. Auch das eigene Persönlich- 
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keitsrecht der Mutter sei nicht geeignet, 
einen Anspruch auf diesen Zugang zu 
begründen. Als ein Teilbereich des Per- 
sönlichkeitsrechts sei z. B. anerkannt, 
seine eigene Abstammung zu kennen. 
Trotz des verständlichen Wunsches der 
Eltern, die Gründe für den tragischen Tod 
ihres Kindes näher zu erforschen, lasse 
sich hieraus kein Recht auf Zugang zu 
dem Account ableiten. Auch wenn eine 
verbleibende Unkenntnis darüber die 
Persönlichkeitsentfaltung der Eltern mas- 
siv beeinträchtigen könne, gebe es auch 
vielfältige andere Ereignisse, die die glei- 
che Wirkung zeigen könnten. Dadurch 
würde das allgemeine Persönlichkeits- 
recht zu einem konturenlosen und nicht 
mehr handhabbaren Grundrecht führen. 
Der vorsitzende Richter des KG Björn 
Retzlaff erklärte, ihnen sei als Gericht 
die Entscheidung nicht leicht gefallen. 
Eine Änderung der Rechtslage könne nur 
durch den Gesetzgeber erfolgen. Das KG 
hat die Revision zum Bundesgerichtshof 
zugelassen (Kammergericht: Urteil zu 
Lasten der klagenden Mutter - kein Zu- 
griff der Eltern auf Facebook-Account 
ihrer verstorbenen Tochter, PM 30/2017 
31.05.2017; Janisch, Letzte Unruhe, SZ 
01.06.2017, 8). 


NdsOVG 


Weitgehende ÖPNV- 
Videoüberwachung in 
Hannover zugelassen 


Das Niedersächsische Oberverwal- 
tungsgericht (NdsOVG) hat mit Urteil 
vom 07.09.2017 die Berufung der Lan- 
desbeauftragten für den Datenschutz 
Niedersachsen (LfD Nds.) gegen ein 
Urteil des Verwaltungsgerichts (VG) 
Hannover zurückgewiesen und damit die 
Aufhebung einer datenschutzrechtlichen 
Anordnung im Ergebnis bestätigt (Az. 11 
LC 59/16). 

Die klagende ÜSTRA hat in zahlrei- 
chen ihrer Fahrzeuge feststehende Vi- 
deokameras installiert, mit denen im 
sog. Blackbox-Verfahren durchgehend 
Bewegtbilder vom Fahrzeuginnenraum 
aufgezeichnet werden. Die Videose- 
quenzen werden nach 24 Stunden wie- 
der gelöscht. Die Aufzeichnung dient 
unter anderem zur Beweissicherung bei 
Vandalismusschäden und zur Verfol- 
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gung von Straftaten. Die Datenschutzbe- 
hörde in Hannover gab der ÜSTRA im 
August 2014 mit einer auf $ 38 Abs. 5 
BDSG gestützten Verfügung auf, die 
Videoüberwachung in ihren Bussen und 
Stadtbahnen während des Einsatzes der 
Fahrzeuge im öffentlichen Personen- 
nahverkehr einzustellen und erst wieder 
aufzunehmen, nachdem sie entweder ein 
Konzept für einen nach Linien und Zeit 
differenzierten Einsatz der Videotechnik 
erarbeitet und umgesetzt hat oder anhand 
konkreter Anhaltspunkte darlegt, dass die 
Videoüberwachung zeitlich und örtlich 
unbeschränkt erforderlich ist. Sie wollte 
die Rund-um-die-Uhr-Aufzeichnung in 
den Bussen und Bahnen wegen eines feh- 
lenden Nachweises der Wirksamkeit un- 
terbinden. Nach ihrer Einschätzung bietet 
die Videoaufzeichnung in Hannover von 
Kriminalität betroffenen Fahrgästen nur 
scheinbar Schutz. Denn anders als bei ei- 
ner Kameraüberwachung, bei der wie bei 
der Braunschweiger Straßenbahn eine 
Leitstelle das Geschehen beobachtet und 
eingreifen kann, bewirkten die Kameras 
in Hannover nur eine Scheinsicherheit, 
die den Erwartungen der Fahrgäste nach 
mehr Sicherheit durch eine Videoüber- 
wachung nicht gerecht wird. Eine Vi- 
deoaufzeichnung rund um die Uhr sei 
nur dann gerechtfertigt, wenn etwa über 
Ermittlungserfolge nachgewiesen wer- 
den könne, dass diese bei der Aufklärung 
oder Vermeidung von Straftaten und Van- 
dalismus hilft. 

Die ÜSTRA hingegen hatte wie die 
Landesnahverkehrsgesellschaft Nieder- 
sachsen von einer abschreckenden Wir- 
kung durch die Kameras gesprochen, 
die schwer mit Zahlen zu belegen sei. 
ÜSTRA-Sprecher Udo Iwannek: „Die 
Ermittlungsbehörden kennen zahlreiche 
Fälle, wo aufgrund von unseren Video- 
aufnahmen Straftäter gefasst werden 
konnten. Gerade vor dem Hintergrund 
der gegenwärtigen Bedrohungslage, auch 
mit Blick auf mögliche Terroranschläge, 
scheint uns ein Abschalten von Video- 
technik der vollkommen falsche Weg zu 
sein.“ Eine Live-Überwachung sei aber 
technisch zu aufwändig. 

Der gegen die Verfügung gerichteten 
Klage hatte das VG Hannover mit Urteil 
vom 10.02.2016 (Az. 10 A 4379/15) mit 
der Begründung stattgegeben, das BDSG 
sei nicht anwendbar, weil die ÜSTRA 
eine öffentliche Stelle des Landes Nie- 


dersachsen sei, für die der Datenschutz 
durch Landesgesetz geregelt sei (DANA 
2/2016, 109). Das niedersächsische Da- 
tenschutzgesetz (NDSG) enthalte keine 
Eingriffsermächtigung, auf die die Verfü- 
gung der Landesdatenschutzbeauftragten 
gestützt werden könnte. 

Das NdsOVG bestätigte die Entschei- 
dung des VG im Ergebnis. Zwar sei das 
BDSG anwendbar; doch erlaube dieses 
der ÜSTRA die Videoüberwachung in ih- 
ren Fahrzeugen. Die Videoüberwachung 
diene der Wahrnehmung berechtigter In- 
teressen der ÜSTRA, insbesondere der 
Verfolgung von Straftaten gegen ihre 
Einrichtungen und der Verhütung solcher 
Straftaten. Die erforderliche Abwägung 
mit den schutzwürdigen Interessen des 
von den Überwachungsmaßnahmen be- 
troffenen Personenkreises falle zuguns- 
ten der von der ÜSTRA geltend gemach- 
ten Belange aus. 

Die Revision zum Bundesverwal- 
tungsgericht hat der 11. Senat nicht zu- 
gelassen (OVG lässt Videoüberwachung 
im Nahverkehr in Hannover zu, www. 
welt.de 07.09.2017; PM OVG Lüneburg 
07.09.2017, Videoüberwachung in den 
Stadtbahnen und Bussen der ÜSTRA 
ist mit dem Datenschutzrecht vereinbar; 
Datenschützer scheitern mit Klage gegen 
Kameraüberwachung in Bus und Bahn, 
www.heise.de 09.09.2017). 


OVG Münster 


TK-Vorratsdatenspeiche- 
rung wird ausgesetzt 


Das Oberverwaltungsgericht (OVG) 
Nordrhein-Westfalen in Münster hat die 
neu in Deutschland geregelte Vorratsspei- 
cherung von Telekommunikations- (TK-) 
Verbindungsdaten mit Beschluss vom 
22.06.2017 wenige Tage vor Beginn ihrer 
Gültigkeit für europarechtswidrig erklärt 
(Az. 13 B 238/17). Das Ende 2015 in 
Kraft getretene Gesetz schreibt Zugangs- 
anbietern vor, ab dem 01.07.2015 Ver- 
bindungsinformationen ihrer KundInnen 
zehn Wochen und Standortdaten einen 
Monat lang zu speichern. Der Beschluss 
beruht auf einem einstweiligen Rechts- 
schutzverfahren, das der Münchner Zu- 
gangsanbieter Spacenet initiierte. In der 
ersten Instanz hatte das Verwaltungsge- 
richt (VG) Köln Anfang des Jahres den 
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vorläufigen Rechtsschutz abgelehnt. Der 
OVG-Beschluss erging ohne mündliche 
Verhandlung und ist nicht anfechtbar. Ein 
Gang zum Bundesverfassungsgericht im 
Hauptsacheverfahren oder zum Europäi- 
schen Gerichtshof bleibt möglich. 

Die vorgeschriebene Speicherpflicht 
erfasst pauschal die Daten nahezu aller 
NutzerInnen von Telefon- und Internet- 
diensten. Der EuGH hatte mit Urteil vom 
21.12.2016 in Bezug auf Schweden und 
Großbritannien, wo Speicherpflichten 
für 6 bzw. 12 Monate vorgesehen wa- 
ren, entschieden, dass eine Vorratsda- 
tenspeicherung von vornherein auf Fälle 
beschränkt werden muss, „bei denen ein 
zumindest mittelbarer Zusammenhang 
mit der durch das Gesetz bezweckten 
Verfolgung schwerer Straftaten bzw. der 
Abwehr schwerwiegender Gefahren für 
die öffentliche Sicherheit besteht“. Dies 
könne etwa durch personelle, zeitliche 
oder geographische Kriterien gesche- 
hen. Die anlasslose Speicherung der 
Daten könne nicht dadurch kompensiert 
werden, dass Behörden nur zum Zweck 
der Verfolgung schwerer Straftaten be- 
ziehungsweise der Abwehr schwerwie- 
gender Gefahren Zugang zu den gespei- 
cherten Daten erhalten. Auch strengere 
Maßnahmen zum Schutz der gespeicher- 
ten Daten vor Missbrauch würden in- 
soweit nicht ausreichen. Auch der Wis- 
senschaftliche Dienst des Bundestags 
diagnostizierte einen Verstoß gegen EU- 
Recht. Wenige Tage nach der Gerichts- 
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entscheidung, am 28.06.2017, setzte dar- 
aufhin die Bundesnetzagentur die Pflicht 
zur Umsetzung der Massenspeicherung 
vorerst aus (Heidrich/Holland, Oberver- 
waltungsgericht: Vorratsdatenspeiche- 
rung ist europarechtswidrig, www.heise. 
de 22.06.2017 Janisch, Vorratsspeiche- 
rung vorerst ausgesetzt, Ausgebremst, 
SZ 29.06.2017, 1, 6). 


AG Bad Hersfeld 


Telefonnummern-Weiter- 
gabe an WhatsApp setzt 
Einwilligung voraus 


Das Amtsgericht (AG) Bad Hersfeld 
entschied mit Beschluss vom 20.03.2017 
in einem familiengerichtlichen Sor- 
gerechtsstreit, dass die automatische 
Weitergabe von Telefonnummern von 
Kontakten an WhatsApp, ohne die Be- 
troffenen vorher um Erlaubnis zu fragen, 
rechtswidrig ist (F 111/17 EASO). Im 
konkreten Fall ging es um die Smartpho- 
ne-Nutzung eines elf Jahre alten Jungen. 
Das Gericht erlegte dabei der Mutter 
konkrete Auflagen zur elterlichen Kon- 
trolle der Smartphone-Nutzung ihres 
Kindes auf. Der Beschluss verpflichtet 
die Mutter, von allen Personen, die aktu- 
ell im Adressbuch des Smartphones ihres 
Sohnes gespeichert sind, schriftliche Zu- 
stimmungserklärungen einzuholen, dass 
diese mit der Weitergabe an WhatsApp 
einverstanden sind. Zudem wurde der 
Mutter eine persönliche Weiterbildung 
zur digitalen Mediennutzung aufgetra- 
gen. 

Der Junge hatte zum Geburtstag ein ei- 
genes Smartphone bekommen und dieses 
nach Auffassung der Eltern exzessiv ge- 
nutzt. Auf dem Gerät gespeichert waren 
über 20 Kontakte, darunter Familienan- 
gehörige, Mitschüler, Freunde und Nach- 
barskinder. Laut Geschäftsbedingungen 
von WhatsApp ist die Nutzung erst ab 
dem 13. Lebensjahr gestattet. 

Datenschützer sehen bereits seit gerau- 
mer Zeit einen Rechtsverstoß darin, dass 
WhatsApp nach der Zustimmung des An- 
wenders zu den Allgemeinen Geschäfts- 
bedingungen automatisch auf sämtliche 
im Smartphone gespeicherten Kontakte 
zugreift, egal ob diese selbst WhatsApp 
nutzen oder nicht. Die für andere Gerichte 
nicht bindende Entscheidung des Amts- 


gerichts hatte „Signalwirkung“ und löste 
eine Debatte aus. Rechtsanwalt Christian 
Solmecke: „Viele Menschen werden jetzt 
erst auf die seit Jahren gängige Praxis des 
Unternehmens aufmerksam.“ 

Der Amtsrichter in Bad Hersfeld ver- 
wies auf die bestehende Abmahngefahr: 
Wer durch seine Nutzung von WhatsApp 
„diese andauernde Datenweitergabe zu- 
lässt, ohne zuvor von seinen Kontakt- 
personen aus dem eigenen Telefon-Ad- 
ressbuch hierfür jeweils eine Erlaubnis 
eingeholt zu haben, begeht gegenüber 
diesen Personen eine deliktische Hand- 
lung und begibt sich in die Gefahr, von 
den betroffenen Personen kostenpflichtig 
abgemahnt zu werden“. 

Der Stuttgarter Medienrechtler Carsten 
Ulbricht hält die Entscheidung für falsch. 
Ein privater Nutzer von WhatsApp kön- 
ne nicht dafür verantwortlich gemacht 
werden, dass das Programm im Hinter- 
grund alle gespeicherten Kontakte herun- 
terlade. Im persönlichen und familiären 
Bereich seien bestimmte Regelungen des 
Datenschutzgesetzes ausdrücklich nicht 
anzuwenden. Der Einsatz von Whats- 
App könne nicht einmal als „fahrlässig“ 
bezeichnet werden, da die Nutzer von 
der Datenweitergabe nichts wüssten. 
Im Ergebnis irrt Ulbricht: Die Rechts- 
widrigkeit ergibt sich nicht aus dem 
Datenschutzrecht, sondern aus der zivil- 
rechtlichen Verletzung des allgemeinen 
Persönlichkeitsrechts. Und es ist zwei- 
fellos fahrlässig, ein IT-Gerät zu nutzen, 
mit dem das Persönlichkeitsrecht Dritter 
verletzt wird. Diese Funktionalitäten von 
WhatsApp müssen jedem, der den Dienst 
nutzt, bekannt sein. 

Ulbricht weist zudem darauf hin, dass 
das geringe Abmahnrisiko für private 
Nutzende nicht auf den geschäftlichen 
Bereich übertragen werden kann. Inso- 
fern sind die rechtlichen Rahmenbedin- 
gungen enger. Die Nutzung von Whats- 
App könnte zu Konflikten mit dem Ge- 
setz führen. Solmecke sieht das ähnlich 
und empfiehlt Berufsgruppen wie Versi- 
cherungsvertretern oder Bankberatern, 
die auf ihrem Smartphone Kundendaten 
gespeichert haben, den Dienst vorerst 
nicht auf ihrem beruflichen Gerät zu in- 
stallieren (Weitergabe von Kontaktdaten 
an WhatsApp unzulässig, www.zeit.de 
27.06.2017; Nau, Amtsgericht: Weiter- 
gabe von Kontaktdaten an WhatsApp 
unzulässig, www.swp.de 28.06.2017). 
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Bergmann, Lutz/Möhrle, 
Roland/Herb, Armin 
Datenschutzrecht 

Boorberg Stuttgart, 

52. Ergänzungslieferung, März 2017 


(tw) Das Elend von Loseblattsamm- 
lungen zum Datenschutzrecht besteht 
derzeit darin, dass die Rechtsänderun- 
gen aktuell mit einer Geschwindigkeit 
erfolgen, dass eine geordnete Fort- 
schreibung des früheren Rechts kaum 
möglich ist. Vor dieser Herausforde- 
rung kapituliert aber der „Bergmann/ 
Möhrle/Herb“ (BMH) nicht, sondern 
versucht, aus der Not eine Tugend zu 
machen, indem er sukzessive das neue 
Recht zum Einordnen bringt. Das ge- 
lingt dem BMH auch, indem er den 
Text und die Erwägungsgründe der 
europäischen Datenschutz-Grundver- 
ordnung (DSGVO) schon im Mai 2016 
eingefügt und inzwischen einige Arti- 
kel der DSGVO (Art. 1, 2, 28, 32, 35, 
36, 59) kommentiert hat. Hierbei neh- 
men die ursprünglichen Autoren, von 
denen Lutz Bergmann 2012 verstorben 
ist, die Unterstützung weiterer Autoren 
in Anspruch und zwar der Anwälte Jens 
Eckhardt und Ralph Wagner. 

Der Vorteil der Loseblattsammlung 
besteht darin, dass das gesamt Geset- 
zesrecht im Zugriff ist, was weiterhin 
gilt, und manches kommentiert auf ak- 
tuellem Niveau. So ist beim BMH etwa 
schon der neue $ 6b BDSG zur Video- 
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überwachung erläutert. Im Hinblick auf 
die kommenden Regelungen sind dem 
gegenüber aber die gebundenen Kom- 
mentare mit vielen Autoren im Vorteil. 
Dies verschärft sich nun dadurch, dass 
neben dem alten in der nächsten Er- 
gänzungslieferung auch noch das neue 
BDSG kommentiert werden muss. 
Dort, wo die Ergänzungen vorgenom- 
men werden, sind sie auf dem neuesten 
Stand, auch im Hinblick auf aktuelle 
Urteile z. B. des Europäischen Ge- 
richtshofs. 

Wer also darauf angewiesen ist, die 
aktuellen Datenschutzregelungen in 
Deutschland im schnellen Zugriff zu 
haben und wer aussagekräftige Kom- 
mentierungen mit weiteren Hinweisen 
sucht, ohne in jedem Fall auf dem neu- 
esten Stand zu sein, der ist weiterhin 
mit dem Bergmann/Möhrle/Herb gut 
bedient. Was dieser nicht leisten kann, 
ist die gesamte Breite der Datenschutz- 
diskussion zeitnah zu begleiten. Der im 
Jahr 1977 begründete Kommentar hat 
schon viele Datenschutzstürme über- 
standen. Es ist ihm zu gönnen, dass er 
trotz der gewaltigen gebundenen Kon- 
kurrenz auch den Wechsel zur DSGVO 
konstruktiv und informativ bewältigt. 


Wedibekur, Mommand 


Ehmann /Selmayr 


Datenschutz- 
Grundverordnung 


Ehmann, Eugen/Selmayr, Martin (Hrsg.) 
Datenschutz-Grundverordnung, 
C.H.Beck München, 2017, 

ISBN 978-3-406-70215-0, 1243 S., 139 €. 


(tw) Nach Paal/Pauly, Kühling/Buch- 
ner und Gola wirft der C. H. Beck-Ver- 
lag mit dem Ehmann/Selmayr die vier- 
te Kommentierung zur Datenschutz- 
Grundverordnung (DSGVO) in die 
juristische Diskussion. Das mit über 
1200 Seiten etwas ungenau als „Kurz- 
Kommentar“ beworbene Werk macht 
den Überblick über die Auslegung der 
DSGVO nicht einfacher, gibt aber Ein- 
blicke, die in den bisherigen Werken zu 
kurz kommen. 

Dies ist insbesondere dem Umstand 
zuzuschreiben, dass einige der Auto- 
ren ganz nah am Entstehungsprozess 
der DSGVO beteiligt waren als Vertre- 
ter des Parlaments, der Kommission, 
der Bürokratie in Brüssel oder in den 
Mitgliedstaaten oder als Wirtschafts- 
lobbyisten. Hinzu kommen einige 
Wissenschaftler mit gutem Namen und 
einige Rechtsanwälte: J. P. Albrecht, 
U. Baumgartner, N. Bertermann, M. 
Braun, H. Heberlein, J. Hladjk, H. G. 
Kamann, A. Klabunde, R. Knyrim, 
T. Kranig, S. Mentel, P. Nemitz, A. 
Paschke, B. Raum, S. Schiedermair, 
A. Schiff, M. Schweinoch, R. Selk, M. 
Will, T. Zerdick — also buchstäblich 
von A bis Z keine Unbekannten in der 
Diskussion über den Datenschutz. Der 
Herausgeber Martin Selmayr sitzt als 
Kabinettschef des EU-Kommissions- 
präsidenten in Brüssel im Zentrum der 
Macht und war in dieser Funktion vom 
Anbeginn bis zur Verabschiedung der 
DSGVO eingebunden; sein Partner Eu- 
gen Ehmann hatte schon die Vorgänger- 
regelung, die EG-Datenschutzrichtlinie 
kommentiert. Dass die Nähe zur Macht 
auch informationshindernd sein kann, 
zeigt sich bei der Suche nach dem EU- 
US-Privacy Shield, das im Stichwort- 
verzeichnis gar nicht vorkommt und 
dem als Datenschutzschild vier unkri- 
tische gedruckte Zeilen gewidmet sind. 

Die Diskussionsnähe zum DSGVO- 
Entstehungsprozess bringt es mit sich, 
dass der Kommentar insbesondere für 
die europarechtlich-wissenschaftliche 
Sichtweise neue Erkenntnisse bringt, 
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die sich gegenüber der eher praxiso- 
rientierten nationalen Sichtweise der 
meisten anderen Werke heraushebt. 
Das Problem auch dieses Kommentars 
— wie von allen des Beck-Verlags - ist, 
dass hinsichtlich der inhaltlichen Posi- 
tionen keine klare Linie erkennbar ist, 
so dass verarbeitungs- neben grund- 
rechtsfreundlichen, meinungsstarke 
und neben eher deskriptiven Interpre- 
tationen abgedruckt sind. Durchgängig 
ist dagegen die hervorragende europa- 
rechtliche Fundierung mit vielen Ver- 
weisen auf die Rechtsprechung der eu- 
ropäischen Gerichte, insbesondere des 
Europäischen Gerichtshofs, sowie auf 
die Aussagen der Art. 29-Arbeitsgrup- 
pe und die Referenz v. a. zur deutsch- 
sprachigen Literatur, soweit sie bis 
Anfang 2017 erschienen ist. Trotz der 
eher wissenschaftlichen Ausrichtung 
des Kommentars gibt er auch wertvolle 
Hinweise für die praktische Auslegung 
und Umsetzung der DSGVO. 


| NOMOsKommayras 


| Slam deg) 


ET 
Datenschutzgrund 
verordnung 


Sydow, Gernot (Hrsg.) 
Europäische Datenschutzgrund- 
verordnung — Handkommentar 
Nomos Verlag Baden-Baden 2017, 
ISBN 978-3-8487-1782-8, 1456 S., 
128,00 € 


(tw) Nachdem der Beck-Verlag den 
Markt schon stark abgegrast hat (mit 
Paal/Pauly, Kühling/Buchner, Gola und 
Ehman/Selmayr, dazu s. 0.) und der Ot- 
to-Schmidt-Verlag mit der Zweitaufla- 
ge des Plath ins Rennen um die Gunst 
der an der Datenschutz-Grundverord- 
nung (DSGVO) Interessierten einstieg, 
sind nun auch der Auernhammer-Kom- 
mentar des Heymanns-Verlags und der 
„Sydow“ von Nomos verfügbar. Nomos 
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hatte zuvor schon mit Monografien von 
Albrecht/Jotzo, Laue/Nink/Kremer und 
Roßnagel die ganz frühen Interessenten 
abgedeckt und kann nun mit einem um- 
fassenden „Handkommentar“ zur DS- 
GVO aufwarten. Anders als Plath und 
Auernhammer konzentriert sich der Sy- 
dow auf die DSGVO und nimmt nicht 
noch das alte — inzwischen überarbei- 
tete — Bundesdatenschutzgesetz mit 
auf. Angesichts der Verfügbarkeit alter 
Kommentare zum alten BDSG ist dies 
kein Nach-, sondern eher ein Vorteil. 

Handlich kann der „Handkommen- 
tar“ nur durch enge Schrift und dünnes 
Papier sein. Tatsächlich behandelt der 
„Sydow“ die DSGVO sehr umfassend 
und mit einer erfreulichen Tiefe. So- 
wohl der Herausgeber wie auch die 21 
weiteren AutorInnen aus Wissenschaft, 
Anwaltschaft und ein wenig richter- 
licher bzw. ministerieller „Praxis“ 
(Kampert, Greve) sind bisher in der 
Datenschutzliteratur noch nicht so stark 
präsent. Das ändert aber nichts daran, 
dass auch dieser Kommentar von hoher 
handwerklicher Qualität ist, aber leider 
auch Kinderkrankheiten anderer Werke 
aufweist, was wohl auch dem noch feh- 
lenden Praxisbezug zuzuschreiben ist. 
Auch wenn er nicht so umfangreich Li- 
teraturhinweise (bis Mai 2017) enthält 
wie andere Kommentare, findet man 
zu allen der vielen wesentlichen Ausle- 
gungsfragen der DSGVO eine fundier- 
te Darstellung und Diskussion. Ähnlich 
wie bei den anderen auf dem Markt ver- 
fügbaren Werken lässt sich nicht sagen, 
dass hier eine eher datenschutzfreund- 
liche- oder datenschutzkritische Positi- 
on überwiegt; die Darstellung ist inso- 
fern unterschiedlich, aber durchgängig 
sachlich und nüchtern und stark an den 
praktischen Anwendungsbedürfnissen 
und weniger an wissenschaftlicher Dis- 
kussion interessiert. 

Der oder die für die DSGVO Inter- 
essierte steht vor dem Dilemma, dass 
der Kommentarmarkt redundant mit 
durchgängig brauchbaren Angeboten 
bestückt ist. Hinsichtlich des Preis- 
Leistungsverhältnisses schneidet dabei 
der „Sydow“ ganz gut ab, zumal er 
zwar teurer als der Gola, aber auch sub- 
stanzreicher ist. Weitere Werke werden 
erscheinen. Auch wenn es noch kei- 
ne Rechtsprechung zur DSGVO gibt, 
Meinungen sind schon viele auf dem 


Markt; die Diskussionen haben begon- 
nen. Dadurch, dass das neue BDSG 
von juristischen Skrupeln weitgehend 
unberührt blieb, wird der Markt und die 
Diskussion weiterhin geflutet werden 
und werden müssen. 


Schantz/Wolrg 


Das neue 
Datenschutzrecht 
N 
und Kane 


Fre 


= 


Schantz, Peter/Wolff, Heirich Amadeus 
Das neue Datenschutzrecht 
Datenschutz-Grundverordnung und 
Bundesdatenschutzgesetz in der Praxis 
C.H.Beck 2017, 

ISBN 978 3 406 69649 7,417 S.,59 € 


(tw) Die schon sehr umfassende 
Literatur zur Datenschutz-Grundver- 
ordnung (DSGVO) in Kommentaren, 
Fachaufsätzen und Monografien be- 
ginnt, das Ende Juni 2017 im Bundes- 
gesetzblatt veröffentlichte Bundesda- 
tenschutzgesetz (BDSG) mit zu be- 
rücksichtigen. Der Beck-Verlag hat es 
nun geschafft, keine zwei Monate nach 
der Veröffentlichung des neuen BDSG 
eine systematische Darstellung des 
deutschen Datenschutzrechtes auf den 
Markt zu bringen, in der das neue na- 
tionale Recht vollständig einbezogen 
wird. Dafür gewonnen hat er den zu- 
ständigen Fachreferenten im Bundes- 
justizministerium Schantz sowie den 
Universitätsprofessor mit dem Schwer- 
punkt Datenschutz Wolff. Herausge- 
kommen ist eine gut leserliche, infor- 
mative und kompetente Darstellung 
des deutschen Datenschutzrechts mit 
seinen umfassenden europarechtlichen 
Grundlagen. Zwar wird der Schwer- 
punkt auf die DSGVO gelegt, doch 
kommen auch die e-Privacy-Richtlinie 
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mit dem umsetzenden deutschen Recht 
sowie die Richtlinie für Justiz und In- 
neres mit ihrer Konkretisierung in den 
88 45 ff. BDSG nicht zu kurz. 

Ausgangspunkt für die systemati- 
sche Darstellung ist das grundsätzliche 
europäische Recht, bei dem die nati- 
onalen Regelungen dann jeweils mit 
eingeblendet, dargestellt und erläutert 
werden. Dabei werden, ausgehend 
vom Verfassungsrecht und von der Ge- 
schichte, zunächst die Grundprinzipien 
und die Zulässigkeit der Verarbeitung, 
dann die technisch-organisatorischen 
Pflichten, die Durchsetzung des Rechts 
und besondere Verarbeitungssitua- 
tionen abgearbeitet. Praktisch nicht 
behandelt wird das bereichsspezifi- 
sche nationale Datenschutzrecht. Die 
Darstellung nimmt umfassend Bezug 
auf die vorliegende EuGH-Recht- 
sprechung und selektiv auf Veröffent- 
lichungen in der Literatur. Zu kurz 
kommt die kritische Sicht der Rechts- 
lage, was vielleicht bei einem Minis- 
teriumsmitarbeiter und einem oft für 
die Bundesregierung tätigen Professor 
auch nicht überraschen mag. Wenn 
auch verfassungswidrige Passagen des 
BDSG unreflektiertt durchgewunken 
werden, so wird zumindest das fer- 
ner liegende EU-US-Privacy Shield 
kritisch bewertet. Ausführlich befasst 
sich Schantz mit dem Verbot automa- 
tisierter Einzelentscheidungen; relativ 
kurz kommt — wie fast durchgängig bei 
juristischen Publikationen — der tech- 
nische Datenschutz. 

Instruktiv sind die fachlichen Erläu- 
terungen, Tabellen (z. B. mit einem 
Vergleich JI-Richtlinie und DSGVO) 
und die historischen Fallbeschreibun- 
gen. Das Ganze wird umrahmt durch 
eine nachvollziehbare Gliederung, 
ein recht umfangreiches Literaturver- 
zeichnis sowie ein Sachregister. Will 
sich jemand neu in das Rechtsgebiet 
einarbeiten und gleich auf dem neu- 
esten Stand sein, so ist das Buch gut 
geeignet. Auch zur ersten Beantwor- 
tung von detaillierten Einzelfallfragen 
gibt das Werk handbuchartig nützliche 
Hinweise. Wer tiefer bohren will, be- 
kommt zwar viele gute Anregungen 
und Hinweise, doch genügt die Dar- 
stellung dann nicht mehr, insbesonde- 
re, wenn gegen den Strich gebürstet 
werden soll. 
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Buchner, Benedikt (Hrsg.) 
Datenschutz im Gesundheitswesen 
Loseblatt, 13. Lfg. 7/2017, AOK-Ver- 
lag, ISBN 978-3-553-43000-5. 


(tw) Einrichtungen, die mit Ge- 
sundheitsdaten zu tun haben, haben es 
hinsichtlich der Wahrung des Daten- 
schutzes und der zumeist zusätzlich 
geltenden Berufsgeheimnisse nicht 
leicht: Die einzuhaltenden Regelun- 
gen strotzen nicht gerade in Bezug 
auf Klarheit und Übersichtlichkeit. 
Dies ist einer der Gründe für die vor- 
liegende Loseblattsammlung, die in- 
zwischen zum 13. Mal ergänzt wurde. 
War diese bei ihrem ersten Erscheinen 
noch recht unvollständig und unüber- 
sichtlich (DANA 2/2012, 98), so ist 
dieses Problem weitgehend behoben. 
Die beiden Schnellordner sind inzwi- 
schen prall gefüllt mit praktischen 
Ratschlägen insbesondere für Daten- 
schutzbeauftragte von Gesundheits- 
einrichtungen. Ihre Struktur ist sowohl 
pädagogisch wie systematisch begrün- 
det, beginnend mit den rechtlichen 
Grundlagen und den Aufgaben der 
Datenschutzbeauftragten, und arbei- 
tet dann spezifische Einzelthemen ab: 
Informationstechnologie, Kranken- 
haus, gesetzliche Krankenversicherung 
(noch sehr dünn), Arztpraxis, Rehabi- 
litation, Pflege. Am Ende werden die 
übergreifenden spezifischen Themen 
Beschäftigtendatenschutz und Risiko-/ 
Compliance-Management behandelt 
sowie eine immer weiter aus Tätig- 
keitsberichten von Aufsichtsbehörden 
bestückte Fallsammlung von A-Z, also 
von „amtsärztlicher Untersuchung‘ bis 
„Zugriffsberechtigung -— Notzugriff“ 
und informationstechnischen Grundbe- 
griffen. Glossar, Literaturverzeichnis 
und Index runden das Ganze ab. 


Das Konzept, eine einfache verständ- 
liche, aber hinreichend tiefgehende und 
detaillierte Darstellung vorzunehmen, 
ohne sich über in der Wissenschaft aus- 
getragene Streitfragen auszulassen und 
entsprechende Verweise vorzunehmen, 
wurde beibehalten und erweist sich als 
praxisgerecht. Der Medizindatenschutz 
ist komplex genug, dass weiterhin eini- 
ge wenige Lücken bleiben, wobei aber 
inzwischen der Gesamtüberblick er- 
kennbar ist. Die Datenschutz-Grundver- 
ordnung ist natürlich — was bei einem 
Loseblattwerk mittelfristig unmöglich 
ist noch nicht umfassend eingearbeitet, 
findet aber inzwischen ebenso Eingang 
wie neue technische Entwicklungen, mit 
denen sich die Praxis herumschlagen 
muss wie z. B. das IT-Sicherheitsgesetz, 
die Angebote von Facebook oder Goog- 
le oder der WLAN-Einsatz oder so ab- 
seitig erscheinende, aber real anfallen- 
de Fragen wie Videodolmetschen oder 
Whistleblowing. 
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Autonome Systeme 
im Krankenhaus 


temäche Latren 
Anschtäche Gemurn 


[)J Nomos 


Münch, Florian 

Autonome Systeme im Krankenhaus 
Datenschutzrechtlicher Rahmen und 
strafrechtliche Grenzen 

Nomos, Baden-Baden 2017, 369 S. 
ISBN 978-3-11-048562-2 


(tw) Wenn in der von Eric Hilgen- 
dorf und Suanne Beck herausgegebe- 
nen Reihe „Robotik und Recht“ eine 
Dissertation mit dem Titel „Autonome 
Systeme im Krankenhaus“ veröffent- 
licht wird, dann macht das neugierig, 
insbesondere wenn im Untertitel der 
Datenschutz auftaucht. Zwar gibt es 
massenhaft Publikationen zum The- 
ma „Big Data“ und „Künstliche Intel- 
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ligenz“ und das auch im Bereich des 
Gesundheitswesens, doch bleiben die 
Texte zumeist an der Oberfläche und 
legen nicht den Schwerpunkt auf das 
Recht und den Datenschutz. Der Grund 
für diesen Mangel ist evident: Zwar ist 
digitale Medizin gerade ein medialer 
Hype, doch im Detail wird es rechtlich 
und technisch hochkompliziert. 

So darf man auch nicht allzu ent- 
täuscht sein, wenn die Erwartungen 
an eine umfassende und grundlegende 
Behandlung von der vorliegenden Ar- 
beit nicht vollständig erfüllt werden. 
Münch beschreibt zunächst einige Er- 
scheinungsformen, Praktiken und ein- 
zelne Anwendungen der Robotik im 
Gesundheitsbereich und setzt sich dann 
mit den rechtlichen Grundlagen der 
ärztlichen Schweigepflicht und des Da- 
tenschutzes auseinander. Dabei macht 
er nicht den Fehler, ausführlich die Ge- 
nese der rechtlichen Instrumente zu be- 
handeln, er versäumt es aber, in Bezug 
auf den Medizinbereich deren Schutz- 
güter genauer zu bestimmen, was für 
eine Behandlung des Gesamtthemas 
wünschenswert gewesen wäre. Er stellt 
seine Ausführungen unter das Haupt- 
thema „Autonomie“ und erwähnt dabei 
nur beiläufig, dass Schweigepflicht und 
Datenschutz einen erheblich umfassen- 
deren Ansatz verfolgen, die neben den 
individuellen Schutzgütern auch gesell- 
schaftliche Werte einschließen und die 
nicht nur abstrakt Autonomie, sondern 
auch konkret Diskriminierungsschutz 
und Gesundheitsschutz zum Ziel haben. 

Der Hauptteil der Arbeit besteht dar- 
in, dass sie die datenschutzrechtlichen 
Instrumente des BDSG anhand des Ein- 
satzes „autonomer Systeme“ im Kran- 
kenhaus durchdekliniert. Dabei orien- 
tiert sich der Autor sehr dogmatisch an 
der Terminologie des BDSG und greift 
nicht die moderneren Ansätze der Da- 
tenschutzgrundverordnung (DSGVO) 
auf. Dies wäre zumindest in Ansät- 
zen möglich gewesen, auch wenn die 
Arbeit im Januar 2015 abgeschlossen 
wurde, als die Diskussion über die DS- 
GVO noch in vollem Gange war. Ein 
Anknüpfen z. B. an den Grundprinzi- 
pien der DSGVO hätte evtl. zur Folge 
gehabt, dass die Risikoorientierung des 
Datenschutzrechts sowie organisatori- 
sche und technische Erwägungen aus- 
führlicher behandelt worden wären. So 
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wird die Technik zunächst sehr formal 
unter dem Stichwort „Datensicherheit“ 
abgehandelt, um dann an anderer Stelle 
richtig, aber zu knapp und unvermittelt 
technische Lösungen zu darzulegen. 
Organisatorische Ansätze wie Standar- 
disierungen, Zertifizierungen oder Ver- 
haltensregeln werden nicht behandelt. 
Systematisch knüpft die Darstellung an 
Regelungen und nicht an konkreten Ro- 
botikanwendungen an, was dazu führt, 
dass diese nicht ganzheitlich unter die 
Lupe genommen werden. Themen, die 
bisher regulativ nur am Rande behan- 
delt werden, wie z. B. Fragen der Proto- 
kollierung oder der Algorithmen-Kon- 
trolle werden nicht so vertieft, wie es 
angesichts der bei Big-Data-Verfahren 
auftretenden Problematik angemessen 
gewesen wäre. 

Einige behandelte Themen werden 
ausführlich behandelt, obwohl sie in der 
Praxis keine größere Bedeutung haben. 
So stellt sich die Haftungsfrage bei der 
medizinischen Robotik weniger nach 
dem Datenschutzrecht hinsichtlich im- 
materieller Schädigungen, sondern im 
Hinblick auf materielle Verletzungen, 
die über $ 823 reguliert sind. Bei der 
Diskussion über Robotikeinsätze sollte 
es nicht darum gehen, wie Haftungs- 
ansprüche oder Strafbarkeit rechtlich 
vermieden werden können, sondern 
welche Regulierungen nötig sind, um 
eine Verletzung zentraler Schutzgü- 
ter zu vermeiden. Die Genauigkeit der 
Sensorik hat in der Praxis keine Rele- 
vanz für die Frage der Anonymisierung 
bzw. Datensparsamkeit. Die Frage der 
Zweckbindung steht nicht im Zentrum 
der durch sog. künstliche Intelligenz 
verursachten rechtlichen Fragestellun- 
gen. Die Big-Data-Fragestellungen las- 
sen sich nicht auf die Auswertung von 
sog. Meta-Daten reduzieren. 

Auch wenn einzelne Ausführungen in 
der Arbeit weniger überzeugend sind, 
so sind die am Ende dargestellten Lö- 
sungsansätze zielführend. Der Versuch, 
bei einem derart im Wandel befindli- 
chen wie dem vorliegenden Thema, zu 
dem es noch keine vertiefte Diskussi- 
on gibt, eine umfassende Behandlung 
vorzunehmen, kann wohl auch nicht 
vollständig gelingen. Der Verdienst des 
Autors besteht darin, diesen Versuch 
gestartet und dabei einige wichtige As- 
pekte behandelt zu haben. 
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Prof. Dr. Gerrit Hornung, Jan Möller 
Passgesetz, Personalausweisgesetz — 
Kommentar 

Verlag C. H. Beck, München, 

1. Auflage, 2011 

ISBN 978 3 406 615795 


(sh) Einen Kommentar für das deut- 
sche Pass- und Personalausweisrecht in 
einer Datenschutzzeitschrift zu rezen- 
sieren, das erscheint nur auf den ersten 
Blick ungewöhnlich, denn mit der Ein- 
führung von elektronischen Komponen- 
ten zur Speicherung biometrischer Daten 
in Pässen und Personalausweisen hat sich 
das Bundesinnenministerium vielfältiger 
Kritik aus Datenschützerkreisen ausge- 
setzt. Es muss also aufhorchen lassen, 
wenn der Verlag C. H. Beck diese Mate- 
rie über weite Strecken aus der Feder des 
Passauer Hochschullehrers Gerrit Hor- 
nung bearbeiten lässt. Der Kommentator 
fällt seit einigen Jahren als aufstrebender 
Akademiker aus der Schule von Prof. 
Alexander Roßnagel in der Datenschutz- 
szene positiv auf. Die damit verbundene 
Erwartung wird nicht enttäuscht: Das 
2011 erstmalig erschienene Werk widmet 
sich mit Beiträgen beider Autoren er- 
freulich ausführlich den aktuellen daten- 
schutzrechtlichen Fragestellungen, die 
mit den elektronischen Komponenten in 
Pässen und Personalausweisen und ihrer 
Herstellung und Verwendung verbunden 
sind. Die Autoren widmen sich daran an- 
schließend auch kundig den bürgerrecht- 
lich brisanten Passentziehungen z.B. ge- 
gen (mutmaßliche) Hooligans und stellen 
diese in den Kontext des Gefahrenab- 
wehrrechts, unter erfreulich umfangrei- 
cher Beleuchtung von Rechtsprechung 
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und Literatur auf aktuellem Stand. 

So rückt der Kommentar nicht etwa 
nur für Behörden und Insider relevante 
Fragen in den Vordergrund, sondern stellt 
sich der datenschutz- und bürgerrechtli- 
chen Problematik des Ausweiswesens. 
Er erschließt dabei die Verwaltungsvor- 
schriften, praktische Bezüge zur Infor- 
mationstechnik, zu den Datenbanken der 
Sicherheitsbehörden und zu europarecht- 
lichen Vorgaben und widmet sich den 
häufigen Parallelen zum Aufenthalts- und 
Staatsangehörigkeitsrecht. Dazu zitieren 
die Autoren verbreitete Fachzeitschriften 
oder liefern zu gerichtlichen Entschei- 
dungen die Geschäftszeichen und Ent- 
scheidungsdaten, mit denen sie zumeist 
leicht aufzufinden sind. Diese Herange- 
hensweise würde man sich auch für an- 
dere Kommentierungen des besonderen 
Verwaltungsrechts wünschen. 


Forg6/Helfrich/Schneider 


Betrieblicher 


Datenschutz 


Prof. Dr. Nikolaus Forgö, 

Prof. Dr. Marcus Helfrich, 

Prof. Dr. Jochen Schneider: 
Betrieblicher Datenschutz, 
C.H.Beck, 2017, 1331 S., 

ISBN 978-3-406-69541-4, 209,-- € 


(wh) Aller guten Dinge sind drei, heißt 
es. Das gilt dann hoffentlich auch für 
die dritte Auflage dieses Werkes. Aller- 
dings ist dieses Werk dieses Jahr gera- 
de in der zweiten Auflage erschienen. 
Der Titel „Betrieblicher Datenschutz“ 
weckt Erwartungen, die das Werk nicht 
erfüllt, nämlich, dass es alle Aspekte des 
betrieblichen Datenschutzes abdeckt. 
Dazu gehören auch die Regelungen zum 
Beschäftigtendatenschutz und die zur 
Pflicht zur Benennung betrieblicher Da- 
tenschutzbeauftragter. Diese Erwartung 
kann das Werk nicht erfüllen, da es hierzu 
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einige Monate zu früh erschienen ist. Das 
Vorwort zu dieser 2. Auflage datiert vom 
April 2017. Das Bundesdatenschutzgesetz 
(BDSG-neu), das am 25. Mai 2018 gleich- 
zeitig mit dem Gültigwerden der EU-Da- 
tenschutzgrundverordnung (DSGVO) in 
Kraft tritt, konnte noch nicht in der vom 
Bundesrat und Bundestag beschlossenen 
Fassung berücksichtigt werden. Es wird 
zwar an der einen oder anderen Stelle 
auf den politischen Willen der deutschen 
Politik verwiesen, mehr aber auch nicht. 
Im Gegenzug werden aber an vielen Stel- 
len noch die Regelungen des derzeitigen 
BDSG (BDSG-alt) umfangreich erläutert, 
die zum Zeitpunkt des Schreibens dieser 
Rezension gerade noch acht Monate gül- 
tig sein werden. 

Abgesehen davon ist das Konzept die- 
ses Werkes sehr gut gelungen, sich nicht 
an der DSGVO entlang zu hangeln, son- 
dern eine Strukturierung anhand der The- 
men des betrieblichen Datenschutzes vor- 
zunehmen. Nach einer Darstellung der all- 
gemeinen datenschutzrechtlichen Grund- 
lagen und Strukturen im Teil I werden 
alle relevanten Themen des betrieblichen 
Datenschutzes dargestellt. Dies geht von 
der Datenschutzorganisation über The- 
men wie „Archivierung und Entsorgung“, 
„Datenschutz in Betrieb, Unternehmen 
und Konzern“, „Outsourcing und neue 
Technologien als Herausforderung für den 
Datenschutz“ und dem „Konfliktmanage- 
ment im Datenschutz“ bis hin zur den Re- 
gelungen zu Bußgeldern und Strafen. 

Das Kapitel „Betrieblicher Daten- 
schutzbeauftragter‘“ ist genauso wie das 
Kapitel „Beschäftigtendatenschutz“ lei- 
der unvollständig und für die praktische 
Umsetzung im betrieblichen Alltag nicht 
ausreichend. Ohne eine Erörterung der 
Regelungen aus dem BDSG-neu ist das 
Wissen um die Regelungen der DSGVO 
in diesen beiden Gebieten nur ungenü- 
gend dargestellt. Hier ist es wesentlich 
zu wissen, wie die Konkretisierungs- 
klauseln, die der europäische Gesetzge- 
ber den Nationalstaaten hier eingeräumt 
hat, ausgefüllt worden sind. Im Kapitel 
„Datenschutz in der Telekommunika- 
tion“ werden die Regelungen des Tele- 
kommunikationsgesetzes (TKG) in Be- 
zug zur DSGVO gesetzt und dargestellt. 
Aber selbst im Abschnitt „Perspektiven“ 
dieses Kapitels fehlt jeglicher Hinweis 
auf den am 10. Januar 2017 von der EU- 
Kommission veröffentlichten Entwurf 


der ePrivacy-Verordnung (ePrivVO), die 
die derzeit auf EU-Ebene gültige EU- 
ePrivacy-Richtlinie (ePrivRL) ablösen 
soll. Es wird nur von der Erforderlichkeit 
der Anpassung nationaler Regelungen 
an die DSGVO gesprochen. Zwar sind 
die Datenschutzregelungen im TKG die 
nationale Umsetzung vieler Regelungen 
der ePrivRL und damit auch nach dem 
Gültigwerden der DSGVO solange gül- 
tig, bis die ePrivRL durch die ePrivVO 
abgelöst wird und die Datenschutzrege- 
lungen des TKG durch die direkt gelten- 
de ePrivVO verdrängt werden. Aber da 
nach der derzeitigen Planung die ePriv- 
VO gleichzeitig mit der DSGVO gültig 
werden soll, wäre bei diesem Werk, des- 
sen Vorwort im April 2017 geschrieben 
worden ist, zumindest eine ausführliche 
Erwähnung des ePrivVO-Entwurfs nicht 
nur erwartbar, sondern auch zwingend 
erforderlich gewesen. Auch wird zwar 
im Kapitel „Adresshandel“ richtig fest- 
gestellt, dass die Anforderungen des $ 7 
Abs. 3 des Gesetzes gegen den unlauteren 
Wettbewerb (UWG) weiterhin zu beach- 
ten sind (vgl. Teil 10, Kapitel 1, Rn 82), 
da diese von der DSGVO nicht berührt 
werden. Eine Herleitung dieser Aussage 
wird nicht angegeben. Es fehlt jeglicher 
Hinweis darauf, dass der $ 7 UWG auch 
der Umsetzung von Art. 13 der ePrivRL 
in Deutschland dient und auch eine daten- 
schutzrechtliche Regelung ist, die nicht 
von der DSGVO verdrängt wird. 

Die Inhalte dieses Werkes lassen sich 
durch ein ausführliches Inhaltsverzeichnis 
und ein sehr umfangreiches Stichwortver- 
zeichnis gut erschließen. 

Fazit: Interessierte Leserinnen und Le- 
ser sollten — gerade bei dem nicht uner- 
heblichen Preis für dieses Werk — besser 
auf die dritte Auflage warten, in der dann 
hoffentlich das BDSG-neu ausführlich 
erörtert ist und die ePrivVO - sofern sie 
beim Erscheinen der dritten Auflage noch 
nicht verabschiedet sein sollte — zumin- 
dest in angemessener Weise erwähnt wird. 
Die derzeit vorliegende Ausgabe wird 
leider am 25. Mai 2018 bereits in einigen 
Teilen veraltet sein, und wesentliche Infor- 
mationen, die für die Umsetzung des be- 
trieblichen Datenschutzes bereits jetzt im 
Hinblick auf den 25. Mai 2018 benötigt 
werden, fehlen leider noch. Deshalb kann 
die dritte Auflage mit Spannung erwartet 
werden, da in dieser diese Mängel besei- 
tigt sein sollten. 
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wie diesen hat 
Sicherheit Vorrang“ 


Thomas de Maiziere in den Tagesthemen vom 22.03.2016 
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Die Wahrscheinlichkeit, bei einem Autounfall 
zu sterben, ist in Deutschland über 1000 mal 
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